Umbruch von Regelungssystemen in der Informationsgesellschaft Freundesgabe für Alfred Büllesbach Johann Bizer Bernd Lutterbeck Joachim Rieß (Herausgeber) Freundesgabe für Alfred Büllesbach Freundesgabe Büllesbach 2002 Umbruch von Regelungssystemen in der Informationsgesellschaft Freundesgabe für Alfred Büllesbach Herausgeber: Johann Bizer Bernd Lutterbeck Joachim Rieß ISBN 3-00-009813-5 Dieses Buch und jeder Artikel steht elektronisch als Download im Internet zu Verfügung: www.alfred-buellesbach.de Jede Verwertung des Werkes zum Beispiel in anderen Publikationen, als Nachdruck oder als Übersetzung bedarf der Genehmigung durch die Herausgeber, die Verwertung einzelner Aufsätze der Genehmigung durch die Autoren. Anfragen über www.alfred-buellesbach.de Zitiervorschlag: Autor, Titel des Beitrages, in: Freundesgabe für A. Büllesbach 2002, S. ... z.B. Bernd Lutterbeck, Umbruch, in: Freundesgabe für A. Büllesbach 2002, S. 6 Satz und Gestaltung: Tom Niemeier, Stuttgart Druck und Weiterverarbeitung: J. F. Steinkopf Druck, Stuttgart Webseitengestaltung: Bernhard Kühne, Stuttgart Freundesgabe Büllesbach 2002 Inhaltsverzeichnis VORWORT Johann Bizer, Bernd Lutterbeck und Joachim Rieß Umbruch von Regelungssystemen . . . . . . . . . . . . . . . . . . . . . . . . 9 1. ZUR PERSON: ALFRED BÜLLESBACH Bernd Lutterbeck Im Umbruch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Hans Koschnik Datenschutz und Staat – ein unbequemes Stück Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . .15 Manfred Gentz Datenschutz im Unternehmen – eine Gratwanderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17 Ulfrid Neumann Was die Schildkröte zu Achilles wirklich sagte . . . . . . . . . . . . . .19 2. GOOD GOVERNANCE Bernd Lutterbeck Die Wissensgesellschaft bauen! . . . . . . . . . . . . . . . . . . . . . . . . . 23 Eckard Minx, Harald Preissler Ortswechsel – Regeln in informatisierten Gesellschaften . . . . . . 39 Sebastian Dworatschek Projektorganisationen und IT-Dienstleistungen . . . . . . . . . . . . . . 49 Thomas Dreier Informationsrecht in der Informationsgesellschaft . . . . . . . . . . . 65 Herbert Kubicek Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes IT-Management . . . . . . . . . . 77 Freundesgabe Büllesbach 2002 Inhaltsverzeichnis Wolfgang Coy Weder vollständig noch widerspruchsfrei . . . . . . . . . . . . . . . . . . 87 Günter Müller Enthält die Informatik Sprengkraft für Regulierungssysteme? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 3. DER DATENSCHUTZ AUF DEM WEG IN DIE MARKTWIRTSCHAFT? Helmut Bäumler Marktwirtschaftlicher Datenschutz . . . . . . . . . . . . . . . . . . . . . . .105 Jörg Tauss Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Alexander Roßnagel Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive . . . . . . . . . . . . . . . . . . . . . . . . . . .131 Wolfgang Kilian Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung? . . . . . . . . . . . . . .151 Bettina Sokol/Roul Tiaden Big Brother und die schöne neue Welt der Vermarktung personenbezogener Informationen . . . . . . . . . . . . . . . . . . . . . .161 Alexander Dix Bedroht der Datenschutz die Informationsfreiheit? . . . . . . . . . .169 Gerald Spindler Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern . . . . . . . . . . . . . . . . . . . . . . . . .177 4. DIE CODIERUNG DES DATENSCHUTZES Johann Bizer Der Code – gestaltbar für und gegen den Datenschutz . . . . . . .193 Joachim Jacob/Helmut Heil Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung . . . . . . . . . . . . . . . 213 Freundesgabe Büllesbach 2002 Inhaltsverzeichnis Winfried Hassemer Staat, Sicherheit und Information . . . . . . . . . . . . . . . . . . . . . . . 225 Michael Hange Wirksamkeit von Regelungen und Empfehlungen in der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 5. GLOBALISIERUNG UND ENTGRENZUNG DES RECHTS Joachim Rieß Baustellen globaler Architekturen des Rechts . . . . . . . . . . . . . . 253 Otfried Höffe Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung. Philosophische Bausteine . . . . . . . . . . . . . 257 Jackson Janes The Transformation of the German-American Debate over Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Anja Miedbrodt Unterschiede im Regulierungsverständnis der deutschen und der amerikanischen Rechtskultur . . . . . . . . . . . 273 Peter J. Hustinx Co-regulation or self-regulation by public and private bodies – the case of data protection . . . . . . . . . . . . . . . 283 Ulf Brühann Selbstregulierungsinstrumente zur Liberalisierung des Datenexports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 Stefan Walz EG-Datenschutzrichtlinie und Selbstregulierung – Umsetzungsdefizite beim Medienprivileg des BDSG . . . . . . . . 301 Anne Carblanc Building bridges between different approaches of privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Hans Jürgen Kranz Selbstregulierter Datenschutz im internationalen Luftverkehr – eine Fallstudie . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Freundesgabe Büllesbach 2002 Inhaltsverzeichnis 6. HERAUSFORDERUNGEN DES STRAFRECHTS Hansjörg Geiger Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches . . . . . . . . . . . . . . . . . . . . 327 Irini E. Vassilaki Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft . . . . . . . . . . . . 347 7. BAUSTELLEN DES IT- UND TELEKOMMUNIKATIONSRECHTES Thomas Hoene Planung und Steuerung von IT-Großprojekten nach modernisiertem Schuldrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Jochen Schneider Rechtliche Konzepte für den Softwarevertrieb . . . . . . . . . . . . . 367 Ursula Widmer Entbündelung der letzten Meile – Ohnmacht trotz Regulierung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 Verzeichnis der Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Lebenslauf von Alfred Büllesbach und eine Auswahl seiner Veröffentlichungen . . . . . . . . . . . . . . 419 Freundesgabe Büllesbach 2002 9 VORWORT Johann Bizer, Bernd Lutterbeck, Joachim Rieß Umbruch von Regelungssystemen »Mit dem Beginn des 21. Jahrhunderts stehen weitere dramatische Umwälzungen in Wirtschaft und Gesellschaft (auf) der Tagesordnung. Das zunehmende Zusammenwachsen internationaler Märkte, die Einführung grundlegend neuer Technologien sowie eine sich verstärkende Wissensintensität menschlicher Tätigkeit deuten auf eine außerordentlich komplexe Welt von morgen. Aber wer soll diese Entwicklungen steuern? Und in welche Bahnen sollen sie gelenkt werden? Welche organisatorischen und institutionellen Voraussetzungen und welche Entscheidungsstrukturen und -prozesse werden auf lokaler, nationaler und globaler Ebene benötigt, um diesen Herausforderungen begegnen zu können?« Mit diesen Worten stellt die OECD ihr neues Buch über »Governance im 21. Jahrhundert« im Klappentext vor. Der Text fährt mit Worten fort, die die Grundeinsicht der meisten Beiträge dieses Bandes zusammenfassen könnten: »Sicher erscheint, dass traditionelle Formen der Steuerung, Lenkung, Kontrolle und Entscheidungsfindung (Governance oder Gouvernanz) im öffentlichen Sektor, im Unternehmensbereich und in der Gesellschaft weitgehend überholt sind.« (OECD 2001). Ist es also der Begriff »Governance«, über den sich die Unruhe so vieler Rechtsinformatiker und das Unbehagen an nicht stimmigen rechtlichen Lösungen kanalisieren ließe? Indessen, die Gefahr ist groß, den Governance-Begriff als »Container1 begriff« zu gebrauchen – man schüttet alles hinein, ohne zu klären, »was in den Container hinein darf und was nicht«. Die Schwierigkeiten zeigen sich bereits daran, dass es trotz einiger Diskussion in den letzten Jahren nicht gelungen ist, eine adäquate deutsche Übersetzung für den angelsächsischen Terminus zu finden. In dem Wort »Governance« schwingen so viele rechtliche, nicht-rechtliche und kulturelle Faktoren mit, dass eine Gleichsetzung etwa mit 2 dem Wort »Regieren« eine zu starke Verkürzung wäre. Am brauchbarsten ist vielleicht die Definition der Vereinten Nationen: »Governance is the sum of the many ways individuals and institutions, public and private, manage their common affairs. It is the continuing process through which conflicting or diverse interests may be accomodated and cooperative action may be taken. It includes formal institutions and regimes enpowered to enforce compliance, as well as informal arrangements that people and institutions either have agreed to or perceive to be their interest.« (Commission on Global Governance 2000). Diese Definition betont die weichen Übergänge zwischen unterschiedlichen Typen von Regularien und die Verbindung rechtlicher und gesellschaftlicher 3 Aktivitäten, insbesondere auch das Handeln nicht-staatlicher Akteure. Will man allen Schwierigkeiten aus dem Weg gehen, muss man also die Probleme benennen, die man mit Hilfe dieser Begrifflichkeit besser klären will. Freundesgabe Büllesbach 2002 10 Bizer/Lutterbeck/Rieß Auf einer noch allgemeinen Ebene dürfte die Antwort der OECD international weitgehend konsensfähig sein. Sie unterscheidet zwei Ebenen, für die neue Governance-Formen gefunden werden müssen: – Makroebene »… die Ablösung vorgegebener, rigider Organisationsstrukturen durch weit spontanere, flexiblere und aufgabenorientierte Konzepte«; – Mikroebene »… die Notwendigkeit, hierarchische Beziehungen, Gewohnheiten und Traditionen zu überwinden, die zu einem im Laufe der Zeit festen Bestandteil des Denkens und Handelns der Menschen geworden sind« (Michalski/Miller/Stevens 2001, S. 30). Wie könnten nun die Governance-Strukturen für die sich anbahnende Wissensgesellschaft aussehen? Welche statischen Prizipien halten diese Gesellschaft zusammen und welche lassen sie zusammenbrechen? Was ist die Rolle des Rechts und der Juristen? Was muss der Gesetzgeber – regional und lokal – tun, was muss er lassen? Es hat den Anschein, dass man Antworten leichter finden kann, wenn man ökonomische Überlegungen stärker in die Konzeptbildung einbezieht. Jedenfalls die amerikanische Rechtsinformatik ist diesen Weg gegangen. Sie hat sich dabei an die prägende Rolle sozialer Normen erinnern lassen müssen. Es hat nämlich den Anschein, dass die treibende Kraft dieser neuen Gesellschaftsformation implizite Regeln sind und nicht explizite. Es verdichten sich auch die Hinweise, das explizite Regeln hauptsächlich durch Code – Softwarecode – und nicht durch Gesetze klassischen Typs gesetzt werden. Sieht man die Dinge so, erschließt sich dem Regulierer ein neuer Raum gegenseitiger Abhängigkeiten. Der inzwischen zu Weltruhm gelangte amerikanische Rechtswissenschaftler Lawrence Lessig (1999) hat diesen Raum an4 schaulich in einem Bild so dargestellt: Freundesgabe Büllesbach 2002 Vorwort: Umbruch von Regelungssystemen 11 Vielleicht hilft das Bild, Strukturen ein wenig besser erfassen als vorher. Aber Lösungen bleiben schwer, weil man Altes und Bewährtes nicht einreißen sollte, ohne den Menschen erklären zu können, weshalb das Neue für sie besser ist. Wir haben versucht, diese Herausforderung durch die Überschrift dieser Freundesgabe deutlich zu machen: Umbruch von Regelungssystemen. Wir hoffen, dass wir in diesem Band eine Reihe von Ansätzen versammeln konnten, die diesem Umbruch aus ganz unterschiedlicher fachlicher Perspektive ein Gesicht gegeben haben. Nicht zuletzt soll die Form dieser Freundesgabe ein Zeichen für den Umbruch sein: sie erscheint nämlich zugleich im Eigenvertrieb und online, mit einer eigenen Website. Für diese Lösung sprachen auch Kostengründe. Aber tragend war für uns die Überlegung, bei einem solchen Thema, Inhalt und Form stärker miteinander zu verzahnen. Wo das Neue nur in Ansätzen schon sichtbar ist, sollte man auch neuen Formen eine Chance geben. Das Printprodukt ist, so hoffen wir, ansehnlich. Der Onlineauftritt ermuntert zu Diskussionen und schafft eine Verbreitung, die eine übliche Festschrift niemals erreichen kann. Natürlich hoffen wir, Netzwerkexternalitäten für uns arbeiten zu lassen. Man wird sehen. Diese Freundesgabe ist in sehr kurzer Zeit entstanden. Ohne die Bereitschaft der Autoren, unsere engen Zeitvorgaben einzuhalten, hätten wir natürlich nicht Erfolg haben können. Unser Dank gilt deshalb den Autoren, vor allem den Praktikern, deren Hauptaufgabe es bekanntlich nicht ist, Texte zu produzieren. 1 2 3 4 Minx und Preissler in diesem Band. Dies hindert die Europäische Kommission nicht, das Wort »European Governance« mit »Europäisches Regieren« zu übersetzen, vgl. Kommission der Europäischen Gemeinschaften 2000 einerseits, Commission of the European Communities 2001 andererseits. Zu weiteren Präzisierungen, insb. auch für Zwecke des Wirtschaftsrechts s. Lutterbeck 2000. Lessig variiert das Bild in seinem Buch durch ständig anders gerichtete Pfeile mehrfach, je nach den Schwerpunkten seiner Aussage. Wir benutzen hier das Grundmodell aus S. 88, sprachlich leicht verändert. Literatur Benkler, Yochai (CLJ 2000): From Consumers to Users: Shifting the Deeper Structures of Regulation Toward Sustainable Commons and User Access. Federal Communications Journal Vol. 52 (2000), pp 561. Bude, Heinz (NZZ 2001): Das Ende der Gesellschaft. Intellektuelle in der Ära des »Lebens«. In: Neue Zürcher Zeitung v. 15.12.2001. Camp, Jean, Lewis, Ken (2001): Code as Speech. John F. Kennedy School of Government. Faculty Research Working Papers RWP01-007 Series. Harvard University, February 2001. Commission on Global Governance (2000): Our Global Neighbourhood. 1. Kapitel, http://www.cgg.ch/CHAP1.html, 14.3.2000. Commission of the European Communities (2001): European Governance. A white Paper. COM(2001) 428, Brussels, 25.7.2001. Freundesgabe Büllesbach 2002 12 Bizer/Lutterbeck/Rieß Grewlich, Klaus W. (1999): Conflict and good Governance in »Cyberspace«. Multi-level and Multi-actor Constitutionalisation. In: Understanding the Impact of Global Networks on Local, Social, Political and Cultural Values. Second Symposium of the German American Academic Council’s Project »Global Networks and Local Values«, Woods Hole, Massachusetts, June 3 – 5, 1999. Max Planck Projektgruppe Recht der Gemeinschaftsgüter, http://www.mpp-rdg.mpg.de, 1.5.2002. Holznagel, Bernd (Verwaltung 2001): Regulierte Selbstregulierung im Medienrecht. In: Regulierte Selbstregulierung als Steuerungskonzept des Gewährleistungsstaats, Die Verwaltung Beiheft 4, Berlin, 2001, 81. Klöpfer, Michael (2000): Rechtsfragen der europäischen Informationsgesellschaft. In: Europarecht 2000, S. 512. Keohane, Robert O., Nye, Joseph S. Jr. (2000): Introduction. In: Nye, Joseph S. Jr., Donahue, John D. (ed): Governance in a globalizing world. Cambridge, Ma, Washington D.C. 2000, pp 1. Kommission der Europäischen Gemeinschaften (2000): Weissbuch: Regieren in der Europäischen Union. Die Demokratie in der Europäischen Union vertiefen. Arbeitsprogramm SEK(2000) 1547/7 endg. Brüssel, 11.10.2000. Lessig, Lawrence (1999): Code and other laws of cyberspace. New York 1999. Lutterbeck, Bernd (2000): Internet Governance. In: Bäumler, H. (Hrsg.): E-Privacy. Datenschutz im Internet. Braunschweig, Wiesbaden 2000, S. 47. Michalski, W., Miller, R., Stevens, B. (2001): Governance im 21. Jahrhundert: Machtverteilung in der globalen wissensbasierten Wirtschaft und Gesellschaft. In: OECD 2001, S. 9. Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD 2001): Governance im 21. Jahrhundert. Paris 2001. Rosenau J. N.(1992): Governance, order, and change in world politics. In: Rosenau/Czempiel (eds), Governance without government: Order and change in world politics. Cambridge 1992, pp 1. Roßnagel, Alexander (1997): Globale Datennetze. Ohnmacht des Staates – Selbstschutz der Bürger. In: ZRP 1997, 26. Schröder, Gerhard (ed) (2002): Progressive Governance for the XXI Century. München 2002. Syme, Serena, Camp, L. Jean (2001): Code as Governance. The Governance of Code. John F. Kennedy School of Government, Faculty Research Working Papers Series RWP01-014. Harvard University April 2001. Wolf, Klaus Dieter (2001): Globalisierung, Global Governance und Demokratie. Gutachten für die Enquete-Kommission »Globalisierung der Weltwirtschaft – Herausforderungen und Antworten, – AU Stud 14/13. Berlin 2001.« Freundesgabe Büllesbach 2002 13 1. ZUR PERSON: ALFRED BÜLLESBACH Bernd Lutterbeck Im Umbruch Alfred Büllesbach ist in eine unruhige Zeit hineingeboren: Krieg und Vertreibung aus dem Land der Väter, gerade mal mit dem Nötigsten das rettende Ufer erreicht. So etwas schafft Motivation, aber den Bruch in der Biographie wird man so schnell nicht wieder los. Irgendwie schleppen die meisten unserer Generation solche Brüche mit sich herum. Natürlich können wir inzwischen damit leben, aber die Narben melden sich immer wieder, mal mit Schmerz, mal schwächer. Wir waren schon davon überzeugt, dass man das Recht von Grund auf renovieren muss, dass man überflüssigen Ballast entsorgen muss – Festschriften und Festgaben eingeschlossen. Natürlich fühlten wir uns moralisch überlegen. Das frühe Eintreten für ein Gebiet wie den Datenschutz war ja aus der Furcht geboren, dass ein neuer Souverän sich unserer freiheitlichen Ordnung bemächtigen könnte. Wir waren unruhig und sahen uns als die Bewahrer der reinen Lehre. Leider haben wir nicht geahnt, dass nicht abstrakte Ideen, sondern Menschen die Dinge voranbringen. Vage Gefühle also. Wir machten uns auf den Weg. Schon am Beginn des Weges war ein Widerspruch: Wir wollten alles besser machen als die Väter, aber ohne sie hätten wir gar nicht beginnen können. Rückblickend war es ein glücklicher Zufall, dass sich zu dieser Zeit, 1969/1970, um die Lehrstühle der Rechtsphilosophen Arthur Kaufmann in München und Wilhelm Steinmüller in Regensburg ein Kreis neugieriger junger Juristen versammelte, die das Fach Rechtsinformatik aus der Taufe hoben. Es musste im Gebälk knirschen, wenn der weltberühmte Philosoph aus München und der Draufgänger und junge Wilde aus Regensburg ihre Truppen aufeinander losließen. Heute müssen wir zugeben, dass uns damals ein ganz entscheidender intellektueller Input entgangen ist: Ohne die Verbindungen zur Theologie, für die zuförderst der Name Roman Herzog stand, wäre das Ganze wohl nicht entstanden. Dieser Gründungsimpuls der Väter hat das berufliche Leben von Alfred Büllesbach und den meisten anderen, die in diesem Buch schreiben, geprägt. Die Arbeit an der Informationsgesellschaft und ihre rechtliche Gestaltung ist für fast alle von uns ein Lebensthema geworden. Wahrscheinlich lag es an unserem rechtsphilosophischen Hintergrund, dass wir fachlich immer über den Zaun geguckt haben. Viele von uns haben berufliche Wege gewählt, die sie in die Informatik, die Ökonomie oder die Sozialwissenschaften geführt haben. Es war eher selbstverständlich zwischen Wissenschaft und Praxis und Freundesgabe Büllesbach 2002 14 im Umbruch vor allem der Politik hin- und her zu wandern. Alfred Büllesbach hat auf das Ganze noch mal »draufgesattelt«. Zu einer Zeit, in der das noch unüblich war, hat er seinen sicheren Beamtenposten in Bremen verlassen und ist in die Privatwirtschaft gewechselt. Es gibt nicht wenige, die dies, wenn auch hinter vorgehaltener Hand, als Verrat bezeichnen. Auf meine Bitte um Mitarbeit an diesem Buch hat mich eine Bemerkung besonders beschäftigt – die von Stefan Walz. Auch ihn kenne ich seit ewigen Zeiten und schätze ihn persönlich und fachlich sehr. »Also weißt Du, dass ausgerechnet Du eine Festschrift machen willst.« Lieber Stefan: Also erstens ist eine »Freundes«gabe und keine Festschrift und zweitens haben wir gelernt, dass auch Formen ihre Berechtigung haben können. Meist lohnt es nicht, darüber zu streiten. Wir sind uns aber weiterhin einig: Wenn Formen mit der bloß hohlen Phrase verbunden sind, lohnt sich jeder Streit. Insoweit sollen die hier versammelten Texte für sich sprechen. Sie geben eine Zustandsbeschreibung dessen, wofür unsere Generation noch steht. Sind wir schon angekommen und haben uns ein gemütliches Nest gebaut? Oder haben wir ein Anliegen, das durch unsere Narben kenntlich gemacht ist? Durch eine Mischung älterer und jüngerer Autoren wollten wir den Leser1 innen und Lesern die Antwort erleichtern. Ich glaube, Alfred Büllesbach ist unter uns die Person, über die sich die meisten Geschichten erzählen lassen. Man erinnert sich ja bekanntlich auch nur an die Lehrer, die man über eine Geschichte in Erinnerung hat. Weil das so ist, kann ich der Idee einer Freundesgabe nur Gutes abgewinnen. 1 Aus dem E-Mail-Verkehr der Herausgeber: »Lieber Bernd, auf welche Frage? Meine Mitwirkung gilt generationsbedingt der Wertschätzung für Alfred. Eure Narben und Wunden sind nicht die meinen. Wir haben andere ... (bspw. dass früher immer alles besser gewesen sein soll ... ;-)).« Freundesgabe Büllesbach 2002 15 Hans Koschnick Datenschutz im Staat – ein unbequemes Stück Arbeit Ich hatte das Vergnügen – na, ein reines Vergnügen war es nicht immer – Dr. Alfred Büllesbach als Datenschutzbeauftragten des Landes Bremen kennen zu lernen. Es ging um die Datenschutzkonzeptionen moderner Zeit. Skeptisch war ich damals schon bei der Berufung eines Datenschutzbeauftragten und der damit verbundenen Neuorientierung in Parlament und Verwaltung. Schließlich war damit die Preisgabe eines Prinzips verbunden, das wir in unserem Leben so sehr geschätzt hatten: »Das war schon immer so, das war noch nie so und da kann ja ein Jeder kommen«. Zudem war die notwendige Gewährleistung von Weisungsunabhängigkeit für Parlament und Regierung keineswegs nur erfreulich. Doch wir überwanden unsere Bauchschmerzen und gingen daran, die nicht mehr zu verhindernde Datenschutzposition positiv zu konkretisieren. Waren die Aufgaben des ersten Datenschutzbeauftragten – Hans Schepp – mit Schwerpunkt auf die Propagierung und Sicherung der individuellen Schutzrechte gerichtet, so kam bei unserem zweiten Datenschutzbeauftragten, Dr. Alfred Büllesbach, der eigentliche Wirkungsbereich zur Geltung. Nämlich voraussorgend in den Regelungen für Gesetze und Rechtsverordnungen Maßstäben sachgerechten Persönlichkeitsschutzes Rechnung zu tragen. Hier fand der spätere Professor, Dr. Alfred Büllesbach, (s)ein eigentliches Arbeitsfeld. Die Rechtssetzung rechtzeitig zu begleiten, um die notwendigen Bedingungen des Datenschutzes von Anfang an in die Überlegungen einzubeziehen war gewiss ein unbequemes Stück Arbeit, brachte aber auch Erfolg. Erfolg dann umso mehr, wenn es gelang, den nicht besonders sensibilisierten »Herrschaften« die Notwendigkeiten des Datenschutzes als ihr eigenes spezielles Anliegen näher zu bringen. Alfred Büllesbach minimierte so von vornherein Reibungsmomente. Diese Leistungen waren für mich Kennzeichen seines Wirkens als Bremischer Landesbeauftragter für den Datenschutz. Seine besondere Handschrift finden wir im Bremischen Verfassungsschutzgesetz und im Bremischen Polizeigesetz. Beide Gesetze hatten für viele Jahre Bestand und drängten übertriebene Staatsschutzerwartungen zurück. Es mag sein, dass ich als ehemaliger Innensenator die Bedeutung dieser beiden Gesetze etwas überschätze (insbesondere nach der neuen Bundesgesetzgebung als Konsequenz aus den Terroranschlägen von New York), nicht aber den Einfluss, den Alfred Büllesbach auf sie genommen hat. Sie hatten damals Vorreiterfunktion. Freundesgabe Büllesbach 2002 16 Freundesgabe Büllesbach 2002 17 Manfred Gentz Datenschutz im Unternehmen – eine Gratwanderung zwischen Persönlichkeitsschutz und bürokratischer Geschäftsbeschränkung Ein Datenschutzgesetz und damit einen in einem Spezialgesetz geregelten gesetzlichen Datenschutz gibt es in der Bundesrepublik Deutschland seit 1977. Damit wurde aber der Schutz personenbezogener Daten nicht »erfunden«, er geht vielmehr auf den Persönlichkeitsschutz zurück, der über lange Jahre in der Rechtsprechung entwickelt wurde und letztlich auf das allgemeine Persönlichkeitsrecht des Artikels 2 des Grundgesetzes zurückzuführen ist. Gesetzlicher Datenschutz ist zu einem dringlichen Anliegen geworden, weil die elektronische Datenverarbeitung die Möglichkeiten des Datentransfers, der Datenkombination und der Datenauswertung sprunghaft vermehrt hatte. Und dieser Prozess ist keineswegs zu Ende. Diskussion und Komplexität von Datenverarbeitungssystemen lassen auch heute noch ständig steigende Verknüpfungsmöglichkeiten zu. Das Internet ermöglicht globale Datentransfers, die früher kaum denkbar waren. E-Business ist zwar kein ganz neues Phänomen, die technische Realisierbarkeit nahezu unbegrenzter Verknüpfungen von Mitarbeiter-, Kunden-, Lieferanten- und Herstellerdaten gibt aber Anlass, nicht nur über die Chancen, sondern auch über Gefahren und Risiken nachzudenken. Internet und global betriebenes E-Business lassen Datenschutz allein auf nationaler Ebene kaum noch effizient erscheinen. Nationale Regeln, die personenbezogene Daten im jeweiligen Land restriktiv – im Sinne des Persönlichkeitsrechts – schützen wollen, werden durch internationale Datentransfers allzu leicht löchrig und weitgehend wirkungslos. Sie können aber den internationalen Geschäftsverkehr nationaler Unternehmen auch erheblich beeinträchtigen und zu Wettbewerbsnachteilen führen, wenn die Unternehmen sich an die strengen Vorschriften halten. Deshalb braucht Datenschutz heute, wenn er effizient gestaltet werden soll, internationale Regeln, die jeweils in nationales Recht umgesetzt werden müssen. Die EU hat sich auf derartige Regeln verständigt, kann aber noch nicht auf globale Regeln zurückgreifen. Immerhin ist festzustellen, dass inzwischen viele Länder außerhalb Europas sich tendenziell den europäischen Grundsätzen annähern. Bis zu einem globalen Datenschutzsystem ist es allerdings noch ein weiter Weg. Die großen, international bzw. global tätigen Unternehmen können und sollten hier Vorreiter und Anreger sein. Beim Datenschutz ist immer sehr gründlich abzuwägen zwischen den wirklich schutzwürdigen Interessen des Individuums und den praktischen und legitimen Anforderungen an ein funktionierendes Geschäftssystem. Das gilt im Bereich der öffentlichen Verwaltung ebenso wie im Bereich der Wirtschaft. In der öffentlichen Verwaltung darf Datenschutz z. B. nicht dazu herhalten, den Missbrauch unseres sozialen Netzes in der Bundesrepublik zu erleichtern, zu ermöglichen oder gar abzusichern. Manches, was unter dem Rubrum DatenFreundesgabe Büllesbach 2002 18 Gentz schutz segelt, dürfte allerdings eher die Unfähigkeit von Verwaltungen sein, in zulässiger Weise Daten abzugleichen. In der Wirtschaft werden Daten häufig ausgetauscht, um für Firmen neue Geschäftsmöglichkeiten zu eröffnen und bisher unbekannte und unzugängliche Kunden zu gewinnen. Insoweit bedarf es sicher klarer Regeln, unter welchen Voraussetzungen, zu welchem Zweck und in welchem Umfang Dateien zugänglich gemacht werden dürfen. Der Einzelne muss auch die Möglichkeit haben, sich vor einer allgemeinen Verfügbarkeit seiner Daten zu schützen und wirksam gegen den unzulässigen Gebrauch seiner individuellen Daten anzugehen. Das Internet mit seinen vielfältigen Möglichkeiten, E-Mail-Adressen auszutauschen, kann zu Datenzugänglichkeiten führen, die über die bloße Lästigkeit weit hinausgehen, sich mit E-Mails unbekannter Anbieter konfrontiert zu sehen. Dagegen muss es zulässig sein, vorhandene Kunden gezielt anzusprechen und sie in geeigneter Form zu betreuen. Hier besteht nicht nur ein berechtigtes Interesse des Unternehmens, sondern auch des Kunden, wenn beispielsweise Nachbesserungsaktionen oder gar Sicherheitsrückrufe die Nutzung personenbezogener Daten geradezu erfordern. Die Grenze liegt immer in der ungezielten Ansprache neuer Kunden und der Beschaffung und Nutzung ihrer Daten, für die es Regeln geben muss. So gibt es eine feine Gratwanderung zwischen dem wünschenswerten, aber nicht überzogenen Schutz personenbezogener Daten und allzu strikten, bürokratisch schwerfälligen und überwachten Regeln, die die Grenzen zu eng ziehen wollen. Diesen feinen Grat zu definieren und dem Gesetzgeber nahezubringen, ihn durch zulässige Auslegung und Interpretation geltender Gesetze zu finden, bedarf nicht nur tiefgründiger Kenntnisse, sondern auch der Fähigkeit, berechtigte Interessen gegeneinander abzuwägen und in praktikable Lösungen umzusetzen. Einer, der dies kann und mit hervorragendem Erfolg national und international bewiesen hat und täglich wieder beweist, ist Alfred Büllesbach. Auf der Basis herausragender Kenntnisse, mit viel Phantasie und großem Einfühlungsvermögen, mit gutem Verständnis für Abläufe und Prozesse und mit einem praktischen Sinn hat er immer wieder auch in diffizilen Problemen rechtlich zulässige, praktikable Wege aufgezeigt, die Akzeptanz bei allen Beteiligten finden konnten. Dafür sei ihm aus Anlass seines 60. Geburtstages herzlich gedankt. Freundesgabe Büllesbach 2002 19 Ulfrid Neumann Was die Schildkröte zu Achilles wirklich sagte In den gemeinsamen Assistentenjahren bei Arthur Kaufmann am Institut für Rechtsphilosophie und Rechtsinformatik der Universität München habe ich mit Alfred Büllesbach gelegentlich auch über die Rolle der Logik im Recht diskutiert, der er aus der Perspektive des auch sozialwissenschaftlich geschulten Juristen (noch) skeptischer gegenüber stand als ich. Der Erinnerung an diese gemeinsamen Zeiten und Gespräche soll die nachfolgende Wiedergabe eines kürzlich bei neueren Ausgrabungen am Hügel von Hissarlik aufgefundenen Textes dienen, auf den im logischen Schrifttum mehrfach Bezug genommen wurde (vgl. Carroll, Mind 1895, S. 278 ff.; Thomson, Ratio 1950, 83 ff.), der bis dato aber als verschollen galt und der von nicht wenigen Forschern den apokryphen logischen Schriften zugerechnet wurde. Ich widme die Erstveröffentlichung dieses archaischen Textes Alfred Büllesbach in alter Freundschaft. Schildkröte: Warum soll Hektor sterben? Achilles: Weil er ein Trojaner ist. Schildkröte: Und warum soll er deshalb sterben, weil er ein Trojaner ist? Achilles: Alle Trojaner sollen sterben. Priamos soll sterben, Paris soll sterben, Polydamas soll sterben, Agenor soll sterben... Schildkröte: Aber warum soll Hektor deshalb sterben, weil Priamos und Paris und Polydamas und Agenor sterben sollen? Achilles: Hektor soll nicht deshalb sterben, weil Priamos und Paris und Polydamas und Agenor sterben sollen, sondern weil er ein Trojaner ist und weil alle Trojaner... Schildkröte: ... das sagtest Du schon. Aber »alle Trojaner«, das sind doch: Priamos, Paris, Polydamas, Agenor und ... und ... und ... und Hektor. Und wenn Hektor nicht deshalb sterben soll, weil Priamos und Paris und Polydamas und Agenor und ... und ... und ... sterben sollen, soll Hektor dann deshalb sterben, weil Hektor sterben soll? Das käme mir irgendwie ... Achilles: »Alle Trojaner«, das meint nicht nur: Priamos und Paris und Polydamas und Agenor und ... und ... und Hektor. Auch Aias sollte sterben, wenn er Trojaner wäre, und selbstverständlich Agamemnon ... Schildkröte: Und Patroklos? Freundesgabe Büllesbach 2002 20 Neumann Achilles: Hm ... vielleicht sollten doch nicht alle Trojaner sterben, wenn Patroklos Trojaner wäre ... Wenn Patroklos Trojaner wäre und nicht sterben sollte, dann sollten eben nicht alle Trojaner sterben. Schildkröte: Gut. Aber auch wenn Hektor nicht sterben sollte, sollten nicht alle Trojaner sterben. Wie kannst Du dann sagen, dass Hektor deshalb sterben soll, weil alle Trojaner sterben sollen? Achilles: Man kann doch auch nicht sagen »Wenn Zeus nicht unsterblich wäre, wären nicht alle Götter unsterblich«. Götter sind eben unsterblich, und wenn Zeus nicht unsterblich wäre, wäre er kein Gott, und wenn er kein Gott wäre, wäre er nicht Zeus... Schildkröte: ... und wenn Hektor nicht sterben sollte, wäre er kein Trojaner, und wenn er kein Trojaner wäre, wäre er nicht Hektor ... das wolltest Du doch sagen? Achilles: Ich weiß nicht, ob ich das sagen wollte. Ich weiß nur, dass Hektor sterben soll, weil alle Trojaner... Schildkröte: Schon gut. Aber dass Hektor als Trojaner sterben soll, wenn alle Trojaner sterben sollen, folgt nur, wenn man die Prämisse voraussetzt »Wenn alle Trojaner sterben sollen und Hektor ein Trojaner ist, dann soll Hektor sterben«. Wenn ich Dir zustimmen soll, musst Du mich bitten, diese Prämisse zu akzeptieren. Achilles: Ich bitte Dich darum. Schildkröte: Gut. Aber dass Hektor als Trojaner sterben soll, folgt auch dann nur, wenn man die Prämisse voraussetzt: »Wenn gilt: Falls Hektor sterben soll, wenn alle Trojaner sterben sollen und Hektor ein Trojaner ist; und wenn alle Trojaner sterben sollen, und wenn Hektor ein Trojaner ist: dann soll Hektor sterben.« Du musst mich bitten, auch diese Prämisse zu akzeptieren. Achilles: Ich bitte Dich darum. Schildkröte: Gut. Aber dass Hektor sterben soll, folgt aus diesen Prämissen nur, wenn man die weitere Prämisse voraussetzt, dass... Achilles: Du entschuldigst mich jetzt. Morgen erwartet uns wieder ein Tag härtesten Kampfes mit den Trojanern. Schildkröte: Es ist nicht wahr, dass morgen ein Kampf mit den Trojanern stattfinden wird. Freundesgabe Büllesbach 2002 Was die Schildkröte zu Achilles wirklich sagte 21 Achilles: Wie kannst Du behaupten, dass es morgen keinen Kampf mit den Trojanern geben wird? Schildkröte: Ich habe nicht gesagt, dass es morgen keinen Kampf mit den Trojanern geben wird. Ich habe nur gesagt, dass es nicht wahr ist, dass es morgen einen Kampf mit den Trojanern geben wird. Achilles: Aber wenn es nicht wahr ist, dass es morgen einen Kampf geben wird, dann heißt das doch, dass es morgen keinen Kampf geben wird. Schildkröte: Nein Achilles: Und wenn es morgen keinen Kampf geben wird, dann ist es wahr, dass es morgen keinen Kampf geben wird. Schildkröte: Nein. Wahr ist nur, dass entweder ein Kampf oder aber kein Kampf stattfinden wird. Dass es einen Kampf geben wird ist ebenso wenig wahr wie dass es keinen Kampf geben wird. Achilles: Wenn wahr ist, dass entweder ein Kampf oder kein Kampf stattfinden wird, dann ist entweder wahr, dass ein Kampf stattfinden wird, oder es ist wahr, dass kein Kampf stattfinden wird. Schildkröte: Nein. – Aber vielleicht solltest Du Dich jetzt doch für den morgigen Kampf mit den Trojanern schonen. Gute Nacht. Freundesgabe Büllesbach 2002 22 Freundesgabe Büllesbach 2002 Die Wissensgesellschaft bauen 23 2. GOOD GOVERNANCE Bernd Lutterbeck Die Wissensgesellschaft bauen!* Ein Spiel und seine Regeln Eine Gesellschaft muss sich neu erfinden können, will sie nicht immobil werden. Dem Philosophen Helmut Spinner verdanken wir die Einsicht, dass diese Fähigkeit im Informationszeitalter durch eine spezielle Ordnung hergestellt werden muss: die Wissensordnung (Spinner 1994; Spinner/Nagenburg/Weber 2001). Eine Wissensordnung hat die Institutionen bereit zu halten, mit deren Hilfe eine Gesellschaft »Innovation« erzeugen kann. Das erste Urheberrechtsgesetz der Welt, das britische Statute of Anne, hat die tragende Idee dieser Institutionen in seiner Überschrift so auf den Begriff gebracht: »An act for the 1 encouragement of learning« . Dieser eigentlich simple Gedanke, der auch die Väter der US-Verfassung geleitet hat 2, ist immer mehr in Vergessenheit geraten. Ich fürchte, dass unsere Gesellschaft für diese Vergesslichkeit einen hohen, einen zu hohen Preis bezahlen muss. Wenn wir die Reden um die Informations- und Wissensgesellschaft wissenschaftlich ein wenig ernst nehmen, muss man den inneren Aufbau, die Struktur unserer Gesellschaften verstehen wollen. Man muss sich insbesondere eine Vorstellung davon machen, wie wir in Zukunft die Welt des »geistigen Eigentums« organisieren müssen und wie besser nicht. Eine solche Aufgabe verlangt eher Demut denn teutonisches Getöse. Schon beim ersten Hinsehen kann man vor der Größe der Aufgabe eigentlich nur erschauern. Was nicht zuletzt daran liegt, dass bestimmte akademische Disziplinen mit Zuständigkeiten in diesem Bereich irgendwie gar nicht präsent sind. Vernünftigerweise muss man also von diesem Thema die Finger lassen. Indessen, die Politik ist weniger skrupelhaft und liefert ständig irgendwelche Bauelemente – zumeist Rechtsregeln –, häufig in geradezu beängstigender Hektik. Ein Konzept, das diese Hektik leitet, ist nicht sichtbar. Dem zunächst sprachlosen wissenschaftlichen Beobachter bleibt da häufig nur das Mittel 3 milder Ironie oder beißenden Spotts . Wenn man als Wissenschaftler trotzdem mitbauen will, weil man den vollmundigen Versprechungen der Akteure misstraut, sollte man sich ein besseres Verfahren überlegen. Deswegen ein Spiel. Ein Spiel mit groben Klötzen. Auch Kinder fangen ja nicht damit an, die wirkliche Welt umzugestalten. Die ersten Modelle sind aus der Sicht der Erwachsenen eher wirr. Sobald sie greifen können, kommen die Duplos. Das wird dann bald langweilig. Dann bauen sie mit Lego immer komplexere Modelle, von den modernen Computerspielen ganz zu schweigen. Und irgendwann sollten sie das, was sie bei der Modellbildung gelernt haben, in der Wirklichkeit anwenden: Erst Krakeln, dann Duplo, dann Lego, dann die Freundesgabe Büllesbach 2002 24 Lutterbeck wirkliche Welt. Die Duplo-Regeln sind denkbar einfach. Es gibt Bausteine, die man zusammenstecken muss. Immerhin müssen sie aufeinander passen. Ich will im Folgenden drei elementare Bausteine der Wissensgesellschaft vorstellen und vier Regeln benennen, mit denen sich die Gestalt der Wissensordnung jedenfalls erahnen lässt. Der erste Baustein: Indirekte Reziprozität Solange es Menschen gibt, hat es immer Aktivitäten gegeben, die sie gemeinsam verrichten mussten: Fischen, Jagen großer Tiere, Krieg, Bewahrung gemeinsamer Eigentumsressourcen. Jeder in einer Gruppe profitierte von dem 4 so konstituierten öffentlichen Gut , also auch diejenigen, die nichts zum Ergebnis beigetragen hatten: die Trittbrettfahrer. Trotzdem hat in der Evolution die Kooperation überwogen. Dieses Ergebnis überrascht, da die Teilnahme durchaus kostenintensiv ist. Eigentlich müsste es sich lohnen, das Gut zu genießen und sich im Übrigen vor Arbeit und Todesgefahr zu drücken. Die Frage ist also: Welcher Mechanismus sorgt dafür, dass menschliche Kooperation bei der Konstituierung öffentlicher Güter anscheinend der Normalfall ist? Ernst Fehr und Simon Wächter, Ökonomen der Universitäten Zürich und Sankt Gallen, haben zur Klärung dieser Frage ein bemerkenswertes Einzelergebnis beigetragen (Nature 2002). »Fehr und Wächter teilten 240 Studenten in Vierergruppen ein. Jedes Gruppenmitglied erhielt 20 Franken. Einen Teil dieses Betrages – auch alles oder gar nichts – konnten die Studenten anonym in ein Gemeinschaftsprojekt, ein öffentliches Gut investieren. Hätten die Studenten nur ihren Vorteil im Auge und würden diesen nach rein rationalen Gesichtspunkten suchen, wie die Spieltheorie besagt, so würde sicherlich keiner der Spieler einen einzigen Franken in das Gemeinschaftsprojekt stecken. In der ersten Runde des Spiels zahlten die Teilnehmer jedoch durchschnittlich zehn Franken ein. Die Trittbrettfahrer aber überhaupt nichts. Wer viel investierte, machte also Verluste und änderte in der nächsten Runde sein Verhalten. Dieses »Wie Du mir, so ich Dir« setzte sich fort. In der sechsten Runde wurden im Durchschnitt weniger als sechs Franken eingesetzt. Ab der siebten Runde wurde eine zusätzliche Regel eingeführt: Nachdem jeder Spieler seinen Betrag investiert hatte, wurde die Gruppe über alle Einzahlungen informiert. Daraufhin durfte jeder Teilnehmer seine Mitspieler mit einem Bußgeld belegen, musste allerdings eine entsprechende Gebühr für diese Strafaktion entrichten. Obwohl die Bestrafung von Trittbrettfahrern also den eigenen Gewinn reduzierte, wandten 84 Prozent diese Maßnahme an.« (Bettenworth Tagesspiegel 2002) In diesem Experiment ist also die Kooperation durch Bestrafung der Gruppenmitglieder aufrecht erhalten geblieben. Warum? Freundesgabe Büllesbach 2002 Die Wissensgesellschaft bauen 25 Offensichtlich spielte die Stärke der Gefühle eine Rolle. Die Stärke dieser Gefühle korrelierte mit der Ausbeute: Je weniger die Trittbrettfahrer zum Gemeingut beitrugen, desto größer der Ärger der anderen. Um diese Gefühle auszuleben, nahmen viele Spieler Kosten auf sich. Anscheinend hat sich in der Evolution das altruistische Bestrafen durchgesetzt. Das im Experiment beobachtete emotionale Verhalten muss also mit Vorteilen verbunden sein. »Eine mögliche Erklärung wäre die indirekte Reziprozität: Lebt man in einer kleinen Gruppe, so treffen deren Mitglieder immer wieder aufeinander. Es spricht sich schnell herum, wer sich ausnutzen lässt und wer nicht. In diesem Fall ist es wichtig, sich Respekt zu verschaffen und zukünftiger Ausbeutung vorzubeugen.« Mein erster Baustein steht somit für die folgende These: Öffentliche Güter werden durch Handlungen vieler Menschen konstituiert. Gruppen koordinieren sich durch selbstloses Bestrafen. Koordination erfolgt durch soziale Normen, deren Befolgung sich im Laufe der Evolution als Vorteil erwiesen hat. Dies gilt im Experiment und für kleine Gruppen. Der zweite Baustein: Reputation Wie ist es nun, wenn größere Entitäten ein öffentliches Gut nutzen? Werden die Menschen sich auch hier koordinieren oder werden die Trittbrettfahrer siegen? Common Gemeindeland, Allmende, Gemeindewiese; gemeinsames Benutzungsrecht; Unterhaus; in common gemeinschaftlich, gemeinsam. (Schüler, Ökonomisches Wörterbuch, Berlin (DDR) 1986) Commons »a resource held in common, to be held or enjoyed equally by a number of persons. In this sense, e resource held »in common« is »free« to those »persons«. In most cases, the commons is a resource to which anyone within the relevant community has a right without obtaining the permission of anyone else. Examples: Public streets; Parks and beaches; Einstein´s theory Writings in public domain are free, e. g. Shakespeare. (Lessig Foreign Policy 2001) »I define commons as a resource that is either completely unowned or whose access is granted to people equally.« (Lessig Multinational Monitor 2002) »…And one good definition of the public domain is that it's a lawyer-free zone.« (Lessig oreillynet 2002) Freundesgabe Büllesbach 2002 26 Lutterbeck Der Biologe Garrett Hardin hat 1968 in einem Artikel für die Zeitschrift »Science« eine Antwort gegeben: »The Tragedy of the Commons«. Hardins provozierende These war denkbar düster: Wenn viele Individuen eine knappe Ressource nutzen, ist Übernutzung des öffentlichen Guts der Normalfall, weil Trittbrettfahrer keine Anreize haben, ihr Verhalten mit anderen zu koordinieren. Sie sind Gefangene ihrer eigenen Logik. Um die damalige Sprengkraft dieser These heute zu erfassen, muss man sich zurückerinnern: an den eskalierenden Ost-West-Konflikt, der unausweichlich auf einen Atomkrieg hinzusteuern schien; an die dramatische Verschlechterung der Umwelt, die damals erst entdeckt wurde; an die Gewissheit, dass die Fischbestände in Neufundland und Kalifornien völlig leer gefischt waren und Hunderttausende Fischer ihre Arbeit verloren hatten. Wer heute John Steinbecks »Straße der Ölsardinen« aufsucht, wird bitter enttäuscht sein: Weit und breit keine kalifornische Sardine zu sehen. Wissenschaftlern wie Politikern war klar, dass unverzügliches Handeln geboten war. Hardin und die damals vorherrschende Meinung konnten sich eine Lösung nur vorstellen, wenn entweder staatliches oder privates Eigentum begründet wurde, um Trittbrettfahrer auszuschließen. Umweltprobleme wurden also als Folge des Fehlens von Property Rights oder Eigentumsrechten angesehen. Die Staaten, so nahmen die Autoren an, müssen also ihre Rechtsordnungen mobilisieren, um das Schlimmste zu verhindern. Diese Lösung musste andere Wissenschaftler beunruhigen. Sie verlangt ja einen immer stärker werdenden Staat, der seine Eigentumsordnung gegen widerstreitende Interessen durchsetzt. Letztlich musste man befürchten, dass die westlichen Gesellschaften bei einer Art Ökodiktatur landen werden. Seit Hardins Aufsatz suchen ganze Forschergenerationen, vor allem aus der politischen Ökonomie, seit gut zehn Jahren auch der (vor allem) amerikanischen Rechtswissenschaften nach Auswegen. Ist die Tragik der Allmende unausweichlich? Nein. Inzwischen kann die Wissenschaft teilweise Entwarnung geben. Die Ergebnisse verdanken sich vor allem den bahnbrechenden Felduntersuchungen der amerikanischen Sozialwissenschaftlerin Elinor Ostrom. Sie hat sie in einem Buch zusammengefasst, das zehn Jahre nach der englischen Fassung auf Deutsch erschienen ist: Der englische Titel »Governing the Commons« trifft genauer, was in der deutschen Übersetzung »Die Verfassung der Allmende« heißt. Das Wort »Verfassung« hat eine juristische Konnotation. Gerade die ist aber bei Ostrom nicht gemeint. Andererseits zeigt der deutsche Untertitel an, wo der Sprengsatz liegen könnte: »Jenseits von Staat und Markt«. In den Jahrzehnten nach Hardins Aufsatz hat Frau Ostrom im Feld geforscht und hat überall auf der Welt Allmenden untersucht: Wassernutzung in Los Angeles, in Spanien und auf den Philippinen, Almen in den europäischen Alpen, Fischereigründe in der Türkei. Auf dieser reichhaltigen Empirie ist ein beeindruckendes theoretisches Gebäude entstanden, eine Theorie der Allmenderessourcen. Ostrom konnte zeigen, dass viele Allmenden zum Teil schon seit JahrhunFreundesgabe Büllesbach 2002 Die Wissensgesellschaft bauen 27 derten sehr gut funktionieren. Sie funktionieren, weil soziale Normen von den Akteuren eingehalten werden. Rechtliche Regeln spielen eine höchstens marginale Rolle. Dieser Aspekt muss Juristen beunruhigen, denn er erschüttert die logische Basis des Staates. Es gibt freilich auch Hardin-typische Allmenden, die genau so funktionieren, wie in der Theorie vorhergesagt. Elinor Ostrom hat eine bahnbrechende Entdeckung gemacht. Sie konnte beweisen, dass die Verwaltung knapper Ressourcen effizienter funktionieren kann, wenn sie außerhalb der klassischen Eigentumsordnung verwaltet werden. Commons, der englische Ausdruck, ist noch gebräuchlicher als das deutsche Wort Allmende, sind also nicht ein Relikt aus grauer Vorzeit, sondern ein sehr modernes Institut, um z. B. die Wasserbewirtschaftung in Los Angeles effizienter zu bewerkstelligen. Welcher Mechanismus bringt nun Allmenden zum Funktionieren? Warum kommt es häufig nicht zur Tragödie, sondern zur Kooperation? Warum gibt es die von Ostrom beobachtete »[q]uasi-freiwillige Regelkonformität: Ich verpflichte mich, die gemeinsam entwickelten Regeln bis auf äußerste Notfälle immer einzuhalten, wenn auch andere Beteiligte die gleiche Verpflichtung eingehen und entsprechend handeln?« Hierzu stellt Ostrom am Anfang ihres Buches folgende These auf: »Es gibt gewichtige Belege dafür, dass die Menschen eine ererbte Fähigkeit besitzen zu lernen, Reziprozität und soziale Regeln so zu nutzen, dass sie damit ein breites Spektrum sozialer Dilemmata überwinden können.« (Ostrom 1999, XIX) Zentral ist der Zusammenhang zwischen – dem Vertrauen, das die Individuen in die anderen haben, – dem Aufwand, den die anderen in glaubwürdige Reputationen investieren, und – der Wahrscheinlichkeit, dass die Akteure Normen reziproken Handelns verwenden. Ich habe alle Argumente beisammen, um die These meines zweiten Bausteins zu formulieren: Gelingende Koordination bei der Nutzung öffentlicher Güter ist der Normalfall. Hardin hat lediglich einen in der Realität durchaus vorkommenden Unterfall formuliert. Die Koordination erfolgt, weil soziale Normen eingehalten werden. Rechtsregeln spielen dafür kaum eine Rolle. Dafür sorgt das in der Evolution erworbene Prinzip der Reziprozität. Der dritte Baustein: Intrinsische Motivation Die untersuchten Allmenden sind größer als kleine Gruppen, aber immer noch klein. Kann Koordination in noch größeren Gruppen und Zusammenhängen und grenzüberschreitend gelingen? Ist es insbesondere möglich, diese inzwischen wohl gesicherten wissenschaftlichen Erkenntnisse auf die Governance des Netzes zu übertragen? Ostroms Forschungsergebnisse beweisen zunächst, dass allzu simple MoFreundesgabe Büllesbach 2002 28 Lutterbeck delle von rechtlicher Regulierung falsch sind. Insbesondere zeigen sie, dass die Verwaltung von Gemeinschaftsgütern außerhalb der klassischen Eigentumsordnung erfolgreich sein kann – das Vorhandensein bestimmter institutioneller Arrangements vorausgesetzt5. Da das Internet als eine freiheitliche Ressource – nicht freie im Sinne von »Freibier« – entstanden ist, lag es nahe, die Idee des Commons auch auf das Internet anzuwenden. Allerdings hat eine eher feuilletonistische und ideologische Sicht den Blick auf die technischen und ökonomischen Realitäten über Jahre verstellt. Zwei unterschiedliche Entwicklungslinien haben schließlich den Durchbruch gebracht: – Die Entdeckung eines neuen Typs von Eigentum durch den amerikanischen Rechtswissenschaftler Michael Heller: das »Anticommons« (Heller HLR 1998; Heller Science 1998); – die Bewegung um Open Source Software, die zur Überraschung aller vor 6 allem auch von deutschen Informatikern vorangetrieben wurde. Das Bauprinzip für die Verbindung beider Linien hat schließlich der Rechtswissenschaftler Lawrence Lessig aus Stanford entdeckt: Man muss technische Designentscheidungen für das Netz – das sog. End-to-end Argument (Saltzer/ 7 Reed/Clark 1984) – und Wettbewerbsüberlegungen miteinander verbinden (Lessig American Prospect 2000). Diesen inneren Zusammenhang zwischen der technischen Infrastruktur einerseits und gesellschaftlicher sowie wirtschaftlicher Innovation andererseits drückt sich in dem programmatischen Untertitel seines neuesten Buches aus: »The fate of the commons in a connected world«. Die Statik einer Wissensgesellschaft hat, wenn man das Bild weiter strapazieren will, einen Kern, ohne dessen Funktionalität das Ganze nicht Gebäude werden kann. Lessig und ihm inzwischen folgend alle führenden Rechtsfakultäten der Vereinigten Staaten sind der Überzeugung, dass dieser Kern 8 durch ein sog. »creative commons« gebildet werden muss. Es ist eine fundamentale Einsicht, dass die Wissensgesellschaft erst durch die Kreativität vieler Menschen entstehen kann. Kreativität braucht aber bestimmte institutionelle Arrangements, ggf. auch Rechtsnormen, um zur Entfaltung zu gelangen. Kreativität braucht Freiheit, sich zu entfalten. Inzwischen bestehen wohl kaum noch Zweifel, dass der rechtliche Kern dieses Arrangements durch das Recht des sog. Geistigen Eigentums gebildet 9 wird. Insofern hat sich dieses Rechtsgebiet von einem Gebiet für wenige Spezialisten zu einer Materie gewandelt, die über die Gestalt dieser neuen Gesellschaftsformation entscheidet. Grundlegende Prinzipien und die meisten Einzelheiten sind zwischen den unterschiedlichen ökonomischen Interessen naturgemäß noch bestritten. Die führenden Rechtswissenschaftler und Ökonomen der USA sowie eine stärker werdende Mindermeinung in der Bundesrepublik sind jedoch der Auffassung, dass die Vorstellungen, die das Gebiet des Geistigen Eigentums seit den großen Verträgen des 19. Jahrhunderts geformt haben, auf die Bedingungen einer Wissensgesellschaft nicht mehr passen. Vor allem hat die Diskussion um Hardins Thesen die Wissenschaft dazu geführt, behutsamer bei der rechtlichen ReguFreundesgabe Büllesbach 2002 Die Wissensgesellschaft bauen 29 lierung von Problemen vorzugehen. Das Ergebnis dieser Diskussionen ist auch eine große fachliche Sicherheit amerikanischer Wissenschaftler bei der rechtlichen Strukturierung neuer Sachverhalte. 1998 ist diese schon beeindruckende Selbstsicherheit nochmals bestärkt worden: In diesem Jahr hat Michael Heller Ökonomen und Juristen mit der Entdeckung eines weiteren Eigentumstyps elektrisiert: The Tragedy of the Anticommons. In einem Beitrag für die Harvard Law Review, den Frau Ostrom als bahnbrechend bezeichnet, schreibt er (Heller HLR 1998, 624): »Anticommons-Eigentum kann am besten als Spiegelbild von AllmendeEigentum verstanden werden. In einer Tragödie der Allmende neigt eine Ressource zur Übernutzung, wenn zu viele Eigner ein Privileg haben, die Ressource zu nutzen und keiner das Recht hat, andere von der Nutzung auszuschließen. In der Tragödie der Anti-Allmende neigen Ressourcen zur Unternutzung, wenn viele Eigentümer das Recht haben, andere von der Nutzung knapper Ressourcen auszuschließen und keiner einen privilegierten Zugang zur 10 Nutzung hat.« Naturgemäß gibt es noch keinen gesicherten Stand über diesen neuen Typus des Eigentums, insbesondere keine ausgefeilte Empirie. Starke Belege für die Richtigkeit diese Ansatzes gibt Heller 1998 für den Bereich biomedizinischer Patente (Heller/Eisenberg Science 1998). Je mehr Anstrengungen unternommen werden, die biomedizinische Forschung durch Patente zu monopolisieren, je mehr Anstrengungen unternommen werden, das Patentportfolio von Forschern und Universitäten zu vergrößern, umso größer ist die Gefahr, dass Anticommons-Eigentum produziert wird. Patente wirken dann als Innovationsbremse. Die Entwicklung lebensnotwendiger Medikamente wird so immer unwahrscheinlicher. Interessanterweise stimmt diese Theorie mit unseren eigenen Ergebnissen überein, die wir 2000 im Auftrag des Bundeswirtschaftsministeriums über Softwarepatente publiziert haben (Lutterbeck/Horns/Gehring 2000). Die Arbeiten von Heller haben wir damals noch nicht gekannt. Wir haben in diesem Gutachten nach der ökonomischen Fundierung des Patentrechts gesucht. Das Ergebnis hat uns alle überrascht. Es gibt weltweit nicht einen einzigen Beweis für die Notwendigkeit derartiger Monopole. Hinzu kommt, dass die Mehrheit der Ökonomen in den letzten 200 Jahren schon immer den Zusammenhang von Patenten und Innovation verneint hat (Machlup 1958), z.B. auch Walter Euken, einer der Väter des Modells der Sozialen Marktwirtschaft (Euken 1990, S. 269 f.). Zu starke rechtliche Regulierung kann also Anticommons-Eigentum erzeugen. Dies scheint besonders der Fall zu sein in Bereichen mit hohem Innovationspotential, wie der Entwicklung von Software. Da die Infrastruktur der Informations- oder Wissensgesellschaft wesentlich durch Software bereitgestellt wird, kann es nicht gleichgültig sein, wenn seine Baumeister in die Tragödie der Anti-Allmende tappen. Freundesgabe Büllesbach 2002 30 Lutterbeck Ist diese Tragödie unvermeidlich? Auch hier gibt es erste Hinweise für eine Entwarnung. Der große Markterfolg »Quelloffener Software« hat die Frage entstehen lassen, warum solche Software überhaupt entsteht. Warum gelingt die Kooperation so offensichtlich, wo doch große Projekte weltweit koordiniert werden müssen? Welchen Anreiz haben die Beteiligten, wo doch unmittelbare monetäre Anreize als Erklärung ausscheiden? In den letzten Jahren hat sich die Ökonomie von dem klassischen Homo Oeconomicus verabschiedet und bietet zunehmend psychologische und sozialwissenschaftliche Erklärungen an. Einer ihrer wichtigsten europäischen Vertreter, Bruno Frey aus Zürich, hat die Ergebnisse seiner langjährigen empirischen Forschungen so zusammengefasst: Im Vordergrund steht die Motivation für menschliches Handeln: Der Mensch tut vieles einfach aus sich selbst heraus (intrinsische Motivation); er handelt nicht nur, weil er dazu von außen einen – oft monetären – Anreiz erhält (extrinsische Motivation). Intrinsische und extrinsische Motivation lassen sich nicht einfach zusammenzählen. Sie sind unter bestimmten Bedingungen negativ miteinander verknüpft: Von außen kommende Eingriffe können die intrinsische Motivation beeinträchtigen: »Kinder, die sich ursprünglich für ihre Schularbeiten interessierten, verlieren einen Teil des Interesses, wenn ihnen eine Belohnung für die Erfüllung der Aufgabe in Aussicht gestellt wird. Die Eltern erreichen damit, dass das Kind fast nur noch gegen Geld Schularbeiten macht. Damit ist ein Verdrängungseffekt eingetreten. Im schlimmsten Fall stellt das Kind auch den Müll nur noch gegen Entgelt vor die 11 Haustür.« (Frey NZZ 2001) Open Source Software entsteht, weil die Beteiligten intrinsisch motiviert sind. Im Übrigen dürften die gleichen Reputationsmechanismen wirksam 12 sein, die Elinor Ostrom für Allmenderessourcen zusammengetragen hat. Ich will es jetzt kurz machen und meine dritte These endgültig formulieren. Die Steine passen zusammen, wenn auch noch nicht ganz so gut wie die ersten beiden: Die Tragödie der Anticommons ist jedenfalls dann nicht unausweichlich, wenn Rechtsregeln die Anreize für intrinsische Motivation nicht behindern. Wo sie es tun, müssen sie fallen. Die Gestalt der Wissensordnung Mitte der neunziger Jahre waren Politik und Wirtschaft und ihr folgend eine Mehrheit der Rechtswissenschaftler optimistisch, Bauprinzipien und Regeln gefunden zu haben, mit denen sich die Herausforderungen eines »Multimediazeitalters« rechtlich bewältigen lassen. Die Bundesrepublik hat hierbei eine Art Führerschaft in Europa übernommen und mit einer Reihe von Gesetzen Neuland betreten. Inzwischen ist Ernüchterung eingekehrt. In der Wirtschaft, weil sich ein Freundesgabe Büllesbach 2002 Die Wissensgesellschaft bauen 31 boomender E-Commerce nicht so recht einstellen will,13 und bei den Regelungsgebern, weil die gewünschten Effekte noch nicht sichtbar sind. Ziemlich gut untersucht ist diese Diskrepanz zwischen Wunsch und Wirklichkeit für ein Herzstück des neuen Multimediarechts: die elektronischen Signaturen. Noch 1999 waren alle Beteiligten fest davon überzeugt, dass diese Signaturen eine »unverzichtbare Voraussetzung für die Sicherheit des elektronischen Rechtsverkehrs« sind, dass die Nutzung dieser Signaturen »erst am Anfang« stünden. Inzwischen steht fest: Sie haben praktisch keine Bedeutung. Johann Bizer (Bizer DuD 2002) hat Aufstieg und Fall dieses Instituts jüngst detailliert nachgezeichnet und eine bemerkenswerte Alternative aufgezeigt: Das Herzstück des neuen Rechts sei ökonomisch fehlerhaft konstruiert, weil es Anreize setzt, die mit den eigenen Prämissen nicht kompatibel seien. »Die Alternative in der Praxis des E-Commerce ist die Generierung einer Sicherheit durch Regeln der Interaktion, die mittlerweile auch gesetzlich geregelt worden ist.« (S. 280) Bizers Ansatz deckt sich mit unseren eigenen Ergebnissen (Langenbach/ 14 Ulrich 2002), wir gehen aber in einem entscheidenden Punkt darüber hinaus: Es ist ein gedanklicher Fehler, elektronische Signaturen mit eigenhändigen Unterschriften gleichzusetzen. Sie sind in ihrer Sicherheitsqualität grundverschieden. (Langenbach/Ulrich 2002, S. 15). Geht man demgegenüber so vor wie deutsche und europäische Gesetzgeber, übersieht man die Bedeutung der Unterschrift als Kulturtechnik, die in einem komplexen und im Einzelnen noch 15 nicht bekannten Geschehen Sicherheit erzeugt. Deutsche und europäische Regelungsgeber haben so vorschnell einen Sachverhalt reguliert, den sie noch nicht verstanden haben. Ebenso wie die oben beschriebenen Sachverhalte verweist auch dieses Beispiel elektronischer Signaturen auf die Existenz sozialer Normen, die Verhalten festlegen. Ein Gesetzgeber, der diesen Sachverhalt missachtet, scheitert. Um ein solches durchaus kostenintensives Scheitern in Zukunft zu verhindern, schlage ich vor, mit Hilfe meiner drei Bausteine behutsam an der Wissensgesellschaft weiterzubauen. Für den Anfang bieten sich vier Bauregeln an: 1. Die Wissensgesellschaft kann nicht (allein oder überwiegend) auf einem altertümlichen Modell von Eigentum aufgebaut werden. Für viele Fälle dürfte die Organisationsform der Allmende überlegen sein. In neueren Forschungen wendet Ostrom ihr Allmende-Modell auf die Stukturierung von Problemen der Wissensgesellschaft an. Sie unterscheidet vier Typen von Gütern: Ostrom differenziert diese vier Klassen nach zwei Attributen: Das Attribut »Subtractability« fragt, ob die Vorteile, die ein Individuum aus dem Gut zieht, den anderen abgezogen werden. Das Attribut »Exclusion« fragt, wie teuer es ist, andere durch physische Barrieren oder durch Rechtsregeln vom Genuss auszuschließen. (Ostrom/Hess 2001) Freundesgabe Büllesbach 2002 32 Lutterbeck Diese Typisierungen belegen zumindest, dass man die Probleme der Wissensordnung nicht über den Begriff des Eigentums thematisieren darf. Denn »die Benutzung des Wortes Eigentum bestärkt den Eindruck, dass die Güter, die diese Attribute teilen, immer auch dem gleichen Eigentumsregime unterliegen. Dies ist zweifellos nicht der Fall. … Allmenderessourcen gehören mal dem Staat, mal einer Kommune, mal einer Genossenschaft, mal einer Gruppe usw. Die Welt der Eigentumsrechte ist also viel komplexer, als es einfache Dichotomien wahr haben wollen.« 2. Die Bauprinzipien des Gebäudes sind evolutionär Es sind Menschen, die die Wissensgesellschaft bauen. Wer die Geschichte des Internets verstanden hat, weiß, dass die Handlungen der Akteure dezentral, nicht zentral koordiniert wurden. Es war Chaos zu erwarten, aber Ordnung ist entstanden, weil die Beteiligten nach dem Prinzip der Evolution vorgegangen sind. Denn die Evolution kennt keinen Masterplan, keine vorgegebene Vision. Ordnung entsteht aus Unordnung, die von vielen Akteuren gleichzeitig erzielt wird. Der Linux-Kernel und die offensichtliche wirtschaftliche und technische Überlegenheit vieler Open-Source-Produkte sind ein Beispiel für die Richtigkeit dieses Ansatzes: »… the beauty of evolutionary theory is that it explains how, given the essential ingredients of evolution – random variation, nonrandom selection, and retention – any system, natural or artificial, can evolve into a complex design through incremental changes explored in parallel. Freundesgabe Büllesbach 2002 Die Wissensgesellschaft bauen 33 …The fundamental processes of evolution are the same in the Linux project as for the biological world. The Linux kernel developed incrementally over the span of several years, through gradual additions and modifications in the hands of variation, selection, and replication…« (Kuwabara firstmonday 2000) 3. Je weniger fremdbestimmt das Handeln, um so besser das Ergebnis Anscheinend gelingt altruistisches Handeln um so besser, je offener die (rechtlichen) Rahmenbedingungen formuliert sind. Wie das Beispiel »Open Source Software« zeigt, kommt Innovation hier nicht durch Exklusion zustande, sondern durch das Gegenteil. Dieses Beispiel ist so mächtig, dass es inzwischen auch auf andere Bereiche ausgestrahlt hat. Zu denken ist etwa an das »Open Courseware«-Konzept des MIT. Das MIT hat 1999 beschlossen, sein gesamtes Kursmaterial offen zugänglich im Internet zur Verfügung zu stellen (Ishii/Lutterbeck firstmonday 2001). Man wird sicher nicht unterstellen dürfen, dass eine führende technische Universität der Welt wie das MIT zu naiv ist, um den ökonomischen Nutzen dieses Strategiewechsels richtig einzuschätzen. Dieser Strategiewechsel hat zwei Aspekte: – Der erste, vordergründige, verkehrt listig den ökonomischen Sinn des Urheberrechts in sein Gegenteil: Denn die Lizenzen werden ja auf Basis des geltenden Urheberrechts erteilt. Auch wird die Gefahr des Entstehens von Anticommons-Eigentum geringer. – Der zweite Aspekt beruht auf einer fundamentalen Einsicht über den prozessualen Charakter von Wissen. In vielen Publikationen versuchen die Autoren die »Was ist«-Frage zu beantworten. Was ist Wissen, was ist Information, was ist die Wissensgesellschaft? Gewiss interessante Fragen. Irgendwann wird man eine Antwort wissen wollen. Aber die Open-Source-Bewegung und Open-Courseware-Initiative gleichen sich darin, dass diese Frage gerade nicht im Zentrum ihres Interesses steht. Der Schlüssel zum Verständnis ist der Prozess, nicht das Produkt. In den Worten des MIT: Der alles entscheidende Punkt ist der Lernprozess, die Interaktion zwischen Fakultät und Studenten, das Gespräch zwischen den Studenten selber. 4. Ohne Software-Technik kann man eine Wissensgesellschaft nicht bauen. Man baut ja auch keinen Wolkenkratzer ohne Stahlträger. Die Regel ist eigentlich selbstverständlich, gewissermaßen ein Platzhalter. Bei den meisten Diskussionen wird jedoch häufig vergessen, dass es eine spezifische Technik ist, die uns von einer Wissensgesellschaft reden lässt. Man darf insbesondere nicht übersehen, dass natürlich viele Baumeister Informatiker sind. Freundesgabe Büllesbach 2002 34 Lutterbeck Vom Spiel zurück ins Leben Alle Einzelforschungen, die ich hier zusammengetragen habe, belegen, dass die Menschen hervorragende Ergebnisse erzielen können, wenn sie untereinander evolutionär die Prozesse koordinieren dürfen. Sie benötigen hierfür nicht ohne Weiteres und nicht immer (juristische) Mediatoren. Die Konsequenz dieser eigentlich trivialen Einsicht geht ziemlich weit. Man kann sich nämlich ein ziemlich anderes institutionelles Arrangement insbesondere zwischen Staat und Bürger vorstellen. Teil eines solchen neuen Arrangements müsste nach heutigen Vorstellungen das oben schon erwähnte »creative commons« sein. Naturgemäß befindet es sich noch im Rohbau und weist fürs Erste zwei Funktionalitäten auf: – Es muss einen Satz informatischer Instrumente allgemein zugänglich machen, mit denen die geistig Schaffenden, die Innovatoren, ihr Wissen gezielt und vor allem differenziert der Öffentlichkeit zugänglich machen. – Es könnte ein Ort werden, in der das für weitere Innovationen wichtige oder herausragend wichtige Wissen unter für Jeden und Jede akzeptablen Lizenzbedingungen aufbewahrt wird (»intellectual property conservancy«): »Like a land trust or nature preserve, the conservancy will protect works of special public value from exclusionary private ownership and from obsolescence due to neglect or technological change. The conservancy will house a rich repository of high-quality works in a variety of media, and help foster an ethos of sharing, public education, and 16 creative interactivity.« Die Idee, dass ein »creative commons« ein schon identifizierter Baustein der Wissensgesellschaft sein könnte, ist ohne die Erfolge der Open-SourceBewegung schlechterdings nicht vorstellbar. Es lässt sich z.B. beweisen, dass die in Industriegesellschaften unerlässliche IT-Sicherheit nach gegenwärtigem Kenntnisstand nur mit solcher Software zu erreichen ist, die nach Open Source-Bedingungen lizensiert ist. (Lutterbeck/Gehring/Horns 2000) »Creative commons« arbeitet also innerhalb des geltenden Rechts, nicht außerhalb: »Creative Commons will work within the copyright system to help reduce these barriers to creativity.« Wahrscheinlich neigen Juristen überall auf der Welt dazu, die Bedeutung von Rechtsnormen zu hoch und die von sozialen Normen zu niedrig einzuschätzen (Hadfield 2000). Natürlich will ein brillianter Jurist wie Lawrence Lessig provozieren, wenn er »Public domain« als eine »Zone ohne Juristen (lawyerfree zone)« definiert (Lessig oreillynet 2002). Aber seine provozierende Äußerung verweist auf die wesentliche Eigenschaft der Wissensgesellschaft, die durch die Kreativität aller Menschen gebildet wird. In einer solchen Gesellschaft darf nicht eine Berufsgruppe – wer immer es sei – über viele andere Gruppen und Menschen bestimmen wollen, wenn man die Innovationskraft unserer Gesellschaft nicht zerstören will. Die moderne Ökonomie kann beweisen, dass die Menschen dabei nicht prinzipienlos vorgehen. Dies ist die Lektion, die der deutsche Gesetzgeber zu begreifen hat: Ein Freundesgabe Büllesbach 2002 Die Wissensgesellschaft bauen 35 wenig mehr Verständnis für die Ökonomie und mehr Einfühlungsvermögen in die sozialen Normen, die die Menschen leiten, könnte zu realitätsnäheren Ergebnissen führen. Eigentlich müsste die Wissenschaft dem Gesetzgeber dabei helfen. Je eher beide ihre Aufgaben verstanden haben, um so eher nimmt die Wissensgesellschaft Gestalt an – eine Gesellschaft mit menschlichem Maß, wie die Ökonomen und viele (amerikanische) Juristen behaupten. * Überarbeitete Version meines Vortrages »Commons und Anticommons« auf dem Abschiedskolloquium »Der Karlsruher Ansatz der integrierten Wissensforschung« anlässlich des Ausscheidens von Prof. Dr. Helmut F. Spinner. Universität Karlsruhe, 22./23.2.2002. 1 Statute of Anne, 8 Anne, c. 19 (1710). 2 »The Congress shall have Power . . . To promote the Progress of Science and useful Arts, …«, U. S. Constitution, art. I, § 8, cl. 8 von 1787. 3 Siehe etwa den Kommentar von Hoeren (Hoeren 2002) zum Referentenentwurf eines Gesetzes zur Regelung des Urheberrechts in der Informationsgesellschaft. 4 Ökonomen definieren den Begriff »öffentliches Gut« durch zwei Eigenschaften: (1) Nichtrivalität im Konsum: der Konsum eines Individuums schränkt die Möglichkeit anderer Individuen nicht ein, dieselbe Ware oder Dienstleistung ebenfalls zu konsumieren; (2) Nichtausschließbarkeit im Konsum: Situationen, in denen niemand vom Konsum ausgeschlossen werden kann, weil es technisch oder rechtlich nicht möglich ist oder extrem aufwändig wäre, vgl. Donges/Freytag 2001, 133. Wie schwierig eine auch für Juristen akzeptable Definition ist, zeigt sich gut an den in Nuancen unterschiedlichen Definitionen auf der Website der Max-Planck-Projektgruppe »Recht der Gemeinschaftsgüter«, http://www.mpp-rdg.mpg.de/ deutsch/forsch.html, 1.5.2002. 5 Einen Überblick über derartige »Bauprinzipien und die Qualität von Institutionen«, die über Erfolg und Misserfolg von Allmenden Auskunft geben, gibt Ostrom in einer Tabelle (Ostrom 1999, S. 235). 6 Eine umfangreiche ökonomische und rechtliche Analyse findet sich in unserem Gutachten für das Bundeswirtschaftsministerium, vgl. Lutterbeck/Gehring/Horns 2000. 7 Frau Barbara van Schewick bearbeitet diesen Zusammenhang in einer Dissertation, die von Herrn Lessig und mir betreut wird: The End-to-End Principle in Network Design, its Impact on Innovation and Competition in the Internet, and its Impact in the Network Architecture of the Next Generation Internet. Lessig (2001) berichtet über diese Arbeit auf S. 47 Fn 69 seines Buches; die herausgehobene Bedeutung des Prinzips Wettbewerb zeigt sich besonders an dem nicht enden wollenden Fall Microsoft, hierzu Bresnahan 2002 und Ishii/Lutterbeck 2002. 8 »In a boon to the arts and the software industry, Creative Commons will make available flexible, customizable intellectual-property licenses that artists, writers, programmers and others can obtain free of charge to legally define what constitutes acceptable uses of their work. The new forms of licenses will provide an alternative to traditional copyrights by establishing a useful middle ground between full copyright control and the unprotected public domain.«, Plotkin sfgate 2002; vgl. noch Creative Commons 2002, ein Policy-Dokument, das von der Harvard Law School bereitgestellt wurde. 9 Das Regime für dieses Arrangement ist das Urheber-Patent-Paradigma, mit dem die Industriegesellschaften seit Ende des 19. Jahrhunderts ihr Innovationsgeschehen regulieren. Dass Urheberrechte und Patente als Monopole gedanklich zusammen gehören, gibt der Text der U.S.-Verfassung noch treffend wieder: »… to promote the progress of science and useful arts«. 1994 hat eine Reihe herausragender Juristen, Ökonomen und Informatiker der USA die Konsequenzen dieser Tatsache für die rechtliche Einordnung von Software in einem Manifest publiziert (Manifesto 1994), das maßgeblich durch die Arbeiten Reichmans (1994) beeinflusst ist. Es ist erstaunlich, dass diese herausragenden Arbeiten von der deutschen Rechtswissenschaft – über bloße Zitate hinaus – nicht rezipiert wurden. 10 Die Diskussion um Hellers Anticommons-These wird längst weltweit geführt; aus Deutschland vgl. man Parisi/Schulz/Depoorter 2000. 11 Vgl. noch die ebenso in Zürich herausgegebene Aufsatzsammlung von Fehr und Schwarz (2002), auch dieses Buch mit einem plastischen Untertitel: »Über Vernunft und Eigennutz hinaus«, sowie Fehr/Falk 2002. Freundesgabe Büllesbach 2002 36 12 13 14 15 16 Lutterbeck Die Zusammenhänge sind in der Ökonomie inzwischen gut erforscht, umfassend Nüttgens/Tesei (2000a, 2000b, 2000c) und Lerner/Tirole 2000; aus der politischen Ökonomie Weber 2000, aus der Soziologie Kuwabara firstmonday 2000 und Grassmuck 2002. Ein neuerer Bericht für die Schweiz findet sich bei Quadri NZZ 2002. In dem Projekt, das von der Europäischen Akademie Neuenahr betreut wurde, haben Wissenschaftler und Praktiker aus sechs Ländern Europas mitgewirkt. Die Mitwirkenden hatten Qualifikationen als Juristen, Ökonomen, Informatiker, Philosophen und Kulturwissenschaftler. Im September 2002 wird unser Bericht auf Englisch erscheinen. Die Bedeutung des Kulturellen zeigt sich besonders eindringlich bei einem Vergleich von Unterschriften und elektronischen Signaturen mit Stempeln in der Rechtskultur des modernen Japan. Diesen Teil des Berichts der Europäischen Akademie hat Kei Ishii bearbeitet. In Anbetracht von äußerst schwierigen technischen Problemen bei der Umsetzung japanischer Schriftzeichen ist der Bericht »Japanische Unterschriftenstempel – Gegenwart und Geschichte« (September 2001) nur über unsere Homepage verfügbar, http://ig.cs.tu-berlin. de/ap/ki/index.html. Aus der Presseerklärung, mit der die Nonprofit-Institution »creativecommons.org« am 16. 5. 2002 der Öffentlichkeit vorgestellt wurde. Cc ist eine Initiative, die von führenden Persönlichkeiten der Universitäten Duke, Harvard, MIT, Stanford und Villanova getragen wird. Wichtigster Geldgeber ist augenblicklich wohl das Stanford Law School Center for Internet and Society. Erster CEO ist Lawrence Lessig. Stets tagesaktuelle Informationen sind verfügbar über die gleichnamige Site www.creativecommons.org und die Harvard Law School (Creative Commons 2002). Für Leserinnen, die ständig informiert sein wollen, lohnt sich der Bezug des fachlich ausgezeichneten Newsletters »filter«, der von der Harvard Law School herausgegeben wird, http://cyber.law.harvard.edu/filter/subscribe. Literatur Benkler, Yochai (ACM 2001): The Battle over the the institutional ecosystem in the digital environment. In: Communications of the ACM February 2001 Vol. 44, No. 2, pp 84. Benkler, Yochai (CLJ 2001): From Consumers to Users: Shifting the Deeper Structures of Regulation Toward Sustainable Commons and User Access. Federal Communications Journal Vol. 52 (2000), pp 561. Bettenworth, Vera (Tagesspiegel 2002): Trittbrettfahrer kriegen was auf die Finger. In: Der Tagesspiegel v. 16.01.2002. Johann Bizer (DuD 2002): Sicherheit durch Interaktion. Alternative zu gesetzeskonformen Signaturen im E-Commerce. Datenschutz und Datensicherung 2002, S. 276. James Boyle (2001): The Second Enclosure Movement and the Construction of the Public Domain. In: Duke conference on the public domain (2001). Bresnahan, Timothy F. (2002): The Economics of the Microsoft Case. Stanford Law School, John M. Olin Program in Law and Economics. Working Paper 232, March 2002. Social Science Research Network Electronic Paper Collection, http://papers. ssrn.com/ paper.taf?abstract_id=304701. Bude, Heinz (NZZ 2001): Das Ende der Gesellschaft. Intellektuelle in der Ära des »Lebens«. In: Neue Zürcher Zeitung v. 15.12.2001. Creative Commons (2002): The Berkman Center for Internet & Society at Harvard Law School (2002): Executive Summary of Issues facing Creative Commons, http://cyber.law.harvard.edu/CreativeCommons/exec.html, 1. 5. 2002. Davis, Randall (ACM 2001): The Digital Dilemma. Communications of the ACM February 2001 Vol. 44, No. 2, pp 77. Donges, Juergen B., Freytag, Andreas (2001): Allgemeine Wirtschaftspolitik. Stuttgart 2001. Duke conference on the public domain (2001): Duke University November 9-11. Focus papers and discussion drafts, http://www.law.duke.edu/pdf, 1.5.2002. Eucken, Walter (1990): Grundsätze der Wirtschaftspolitik. 6. Aufl. Tübingen 1990. Falk, Arnim, Fehr, Ernest (2002): Psychological Foundations of Incentives. Institute for Empirical Economic Research Zurich. CEPR Discussion Paper No. 3185, January 2002, available from the SSRN Electronic Paper Collection, http://papers.ssrn.com/ paper.taf?abstract_id=301322. Freundesgabe Büllesbach 2002 Die Wissensgesellschaft bauen 37 Fehr, Ernst, Gächter, Simon (Nature 2002): Cooperation and Punishment in Public Goods Experiments. In: Nature Vol. 415 (10) January 2002, S. 137. Fehr, Ernst, Schwarz, Gerhard (Hrsg.) (2002): Psychologische Grundlagen der Ökonomie. Zürich 2002. Frey, Bruno S. (NZZ 2001): Die Grenzen ökonomischer Anreize. Was Menschen motiviert. In: Neue Zürcher Zeitung v. 18. 5. 2001. Grassmuck, Volker (2002): Freie Software zwischen Privat- und Gemeineigentum. Bonn 2002. Hadfield, Gillian K. (2000): Privatizing Commercial Law: Lessons from the Middle and the Digital Ages. Faculty of Law, University of Toronto. March 2000, http://www.aei.brookings.org/publications/ related/hadfield.pdf, 1.5.2002. Hardin, Garret (Science 1968): The Tragedy of the Commons. In: Science Vol. 162 (1968), pp 1243. Heller, Michael A. (HLR 1998): The Tragedy of the Anticommons. Property in the Transition from Marx to Markets. In: Harvard Law Review Vol. 111 (1998), pp 622. Heller, Michael A., Eisenberg, Rebecca S. (Science 1998): Can Patents Deter Innovation? The Anticommons in Biomedical Research. Science Volume 280, Number 5364, Issue of 1 May 1998, pp 698-701. Holznagel, Bernd (Verwaltung 2001): Regulierte Selbstregulierung im Medienrecht. In: Regulierte Selbstregulierung als Steuerungskonzept des Gewährleistungsstaats, Die Verwaltung Beiheft 4, Berlin, 2001, S. 81. Ishii, Kei, Lutterbeck, Bernd (firstmonday 2001): Unexploited Resources of Online Education for Democracy – Why the Future Should Belong to «OpenCourseWare». First Monday, Vol. 6 (2001), Issue 11, nur online unter http://www.firstmonday.org/ issues/issue6_11/ishii/. Ishii, Kei, Lutterbeck, Bernd (2002): Der Microsoft-Prozeß. In: Roesler, Alexander, Stiegler Bernd (Hrsg.): Microsoft. Medien – Macht – Monopol. Suhrkamp (erscheint voraussichtlich im Oktober 2002). Kuwabara, Ko (firstmonday 2000): A Bazaar at the Edge of Chaos. Firstmonday Vol. 5 (2000) Issue 3, nur online unter http://www.firstmonday.org/issues/issue5_3/kuwabara/. Langenbach, Christian, Ulrich, Otto (Hrsg.) (2002): Elektronische Signaturen. Kulturelle Rahmenbedingungen einer technischen Entwicklung. Berlin, New York ea 2002. (B.L. ist einer der Mitautoren) Lerner, Josh, Tirole, Jean (2000): The Simple Economics of Open Source. Harvard Business School, December 29, 2000, http://www.people.hbs.edu/jlerner/simple.pdf, 1.5.2002. Lessig, Lawrence (American Prospect 2000): Innovation, Regulation and the Internet, The American Prospect Vol.11 no.10, March 27-April 10, 2000, http://www.prospect.org/archives/V11-10/lessig-l.html, 26. 5.2000. Lessig, Lawrence (2001): The Future of Ideas. The Fate of the Commons in a Connected World. New York 2001. Lessig, Lawrence (Foreign Policy 2001): The Internet Under Siege. Foreign Policy Magazine, November/December 2001, http://www.foreignpolicy.com/issue_novdec_2001/lessig.html. Lessig, Lawrence (Wired 2001): May the Source Be With You. The laws protecting software code are stifling creativity, destroying knowledge, and betraying the public trust. Wired 9.12 – December 2001. Lessig, Lawrence (oreillynet 2002): Lessig on the Future of the Public Domain. Published by Richard Koman on The O'Reilly Network on 04/02/2002, http://www.oreillynet.com/pub/a/network/2002/04/02/lessig.html. Lessig, Lawrence (Multinational Monitor 2002): Controlling the ‘Net. How Vested Interests Are Enclosing the CyberCommons and Underming Internet Freedom. Multinational Monitor March 2002 – Vol. 23 - No. 3, http://multinationalmonitor.org/ mm2002/02march/march02interviewlessig.html, 1. 5. 2002. Lutterbeck, Bernd, Horns, Axel H., Gehring, Robert (2000): Sicherheit in der Informationstechnologie und Patentschutz für Software Produkte – Ein Widerspruch? Gutachten der Forschungsgruppe Internet Governance für den Bundesminister für Wirtschaft und Technologie vom Dezember 2000, nur online unter http://www. sicherheit-im-internet.de/news/news.phtml?nnid=588, 29.03.2001. Freundesgabe Büllesbach 2002 38 Lutterbeck Fritz Machlup (1958): Die wirtschaftlichen Grundlagen des Patentrechts. Deutsche Übersetzung eines Berichts an den Senat der USA von 1958, http://www.sffo.de/ machlup1.htm, 29.3. 2001. Manifesto (1994): Samuelson, Pamela Davis, Randall. Kapor Mitchell D, Reichman, Jerome: A Manifesto Concerning the Legal Protection of Computer Programs. Symposium. Toward a third intellectual property paradigm. Columbia Law Review 94 (1994) no 8, 2308. Nüttgens, Markus, Tesei, Enrico (2000a): Open Source: Konzept, Communities und Institutionen. Forschungsberichte des Instituts für Wirtschaftsinformatik, Universität des Saarlandes. IWi-Heft 156, Saarbrücken 2000, im Internet: http://www.iwi.unisb.de/iwi-hefte/heft156.pdf (15. 9. 2000). Nüttgens, Markus, Tesei, Enrico (2000b): Open Source: Produktion, Organisation und Lizenzen. Forschungsberichte des Instituts für Wirtschaftsinformatik, Universität des Saarlandes. IWi-Heft 157, Saarbrücken 2000, im Internet: http://www.iwi.unisb.de/iwi-hefte/heft157.pdf (15. 9. 2000). Nüttgens, Markus, Tesei, Enrico (2000c): Open Source: Marktmodelle und Netzwerke. Forschungsberichte des Instituts für Wirtschaftsinformatik, Universität des Saarlandes. IWi-Heft 158, Saarbrücken 2000, im Internet: http://www.iwi.uni-sb.de/ iwi-hefte/heft158.pdf (15. 9. 2000). Magrit Osterloh, Bruno S. Frey (1999): Motivation, Knowledge Transfer, and Organizational Forms. Institute for Empirical Research in Economics. University of Zurich Working Paper Series, November 1999, http://www.iew.unizh.ch/wp/ iewwp027.pdf, 1. 5. 2002. Ostrom, Elinor (1998): Self-governance of common-pool resources. In: The New Palgrave Dictionary of Economics and the Law. Bd. 3. London 1988, pp 424. Ostrom, Elinor (1999): Die Verfassung der Allmende. Jenseits von Staat und Markt. Tübingen 1999. Ostrom, Elinor, Hess, Charlotte (2001): Artifacts, Facilities, And Content: Information as a Common-pool Resource. In: Duke conference on the public domain (2001). Parisi, Francesco, Schulz, Norbert, Depoorter, Ben (2000): Duality in Property: Commons and Anticommons. Würzburg Economic Papers Nr. 21 as of May 2000, http://www.wifak.uni-wuerzburg.de/wilan/wifak/vwl/vwl1/wepdownload/wep21.pdf, 1. 5. 2002. Plotkin, Hal (sfgate 2002): All Hail Creative Commons. Stanford professor and author Lawrence Lessig plans a legal insurrection, Special to SF Gate Monday, February 11, 2002: http://www.sfgate.com/cgi-bin/article.cgi?file=/gate/archive/2002/02/11/creatcom.DTL, 1. 5. 2002 Quadri, Peter (NZZ 2002): Wo steht die Informationsgesellschaft in der Schweiz? Trotz guten Ansätzen bleibt noch viel zu tun. In: Neue Zürcher Zeitung v. 4. 5. 2002. Reichman, Jerome H (CLR 1994): Legal Hybrids between the Patent and Copyright Paradigms. In: Columbia Law Review Vol. 94 (1994) No. 8, 2432. Röttgers, Jank (telepolis 2002): Wird Lawrence Lessig CEO? Lizenz-Plattform »Creative Commons« startet im Mai. Telepolis v. 13. 2. 2002, http://www.heise.de/tp/deutsch/ inhalt/te/11840/1.html, 1. 5. 2002. Jerome H. Saltzer, David P. Reed and David D. Clark (ACM 1984): End-to-End Arguments in System Design, ACM Transactions on Computer Systems 2,4 (November 1984), 277. Die erste Version erschien in The Second International Conference on Distributed Computing Systems, April 1981, 509, http://www.reed. com/Papers/EndtoEnd.html. Spinner, Helmut F. (1994): Die Wissensordnung. Ein Leitkonzept für die dritte Grundordnung des Informationszeitalters. Opladen 1994. Spinner, H., Nagenborg, M., Weber, K. (2001): Bausteine zu einer Informationsethik. Berlin/Wien 2001. Weber, Steven (2000): The Political Economy of Open Source Software. BRIE Working Paper 140. University of Berkeley, California, June 2000. Freundesgabe Büllesbach 2002 39 Eckard Minx, Harald Preissler Ortswechsel – Regeln in informatisierten Gesellschaften 1. Von expliziten Regeln Paragraph 108 ist eindeutig: »Die Schenkin, die als Zahlung der Getränke nicht Korn, sondern Geld zu höherer Taxe nimmt, so dass der Geldbetrag den Wert der Getränke übersteigt, wird mit dem Wassertod bestraft.« Abb. 1: Hammurabis Stein. (Codex 2002) Vor mehr als 3500 Jahren setzte sich der babylonische König Hammurabi das Ziel, »alle Klassen der babylonischen Gesellschaft, Frauen und Sklaven eingeschlossen, zu schützen« (Codex 2002). Die insgesamt 282 Gesetze regeln vertragliche Beziehungen, setzen Preise für Güter und Dienstleistungen fest, definieren Eigentums- und Personenrechte, kurzum: die Strukturen und Prozesse der babylonischen Gesellschaft, die sich zum damaligen Zeitpunkt in einer spannungsgeladenen Phase des Umbruchs befand. Damit verbunden war der absolute Anspruch Hammurabis, seine Macht auch zukünftig abzusichern und mit Mitteln der Alleinherrschaft durchzusetzen. Zeitsprung: »Ist Globalisierung ein neues Phänomen oder nicht? Überwiegen deren Vor- oder Nachteile? Sind mehr oder weniger politische Maßnahmen zur Steuerung der Weltwirtschaft nötig?« Mit Fragen dieses Kalibers widmet sich die Arbeitsgruppe »Global Governance« der Enquete-Kommission des 14. Deutschen Bundestages »Globalisierung der Weltwirtschaft – Herausforderungen und Antworten« den gesellschaftlichen Gestaltungsmöglichkeiten der Globalisierung (Brand u. Brunnengräber Blätter 2002). Am Globalisierungsbegriff machen sich heute unterschiedlichste politische Ziele, Hoffnungen aber auch viele Ängste fest. Er ist auch ein Symbol für eine in Bewegung geratene Gesellschaft, die um neue Zukunftskonzepte ringt. Das deutsche Parlament fragt in diesem Kontext nach seinen politischen Zukunftsvorstellungen sowie nach Möglichkeiten, diese unter den Bedingungen von Globalisierung durchzusetzen. Freundesgabe Büllesbach 2002 40 Minx/Preissler Ortssprung: »You want us to pay? We want you to pay attention. Don't worry, you can still make money. That is, as long as it's not the only thing on your mind. Have you noticed that, in itself, money is kind of one-dimensional and boring? What else can we talk about?« In den 95 Thesen des CluetrainManifests, das im Frühling 2000 im World Wide Web veröffentlicht wurde (www.cluetrain.com), geht es um das Verhältnis von Unternehmen und Kunden bzw. Wirtschaft und Gesellschaft. Abb. 2: Governance im Cyberspace – das Cluetrain-Manifest Obwohl das Cluetrain-Manifest und seine Unterzeichner in der Öffentlichkeit keine nachhaltige Sichtbarkeit erlangt haben, trifft es den Zeitgeist an einer empfindlichen Stelle: Die »unverstellte Stimme des Menschen« kommt zu Wort (Baer Brandeins 2000). Beispiel Unternehmenskommunikation: Kann Authentizität vorgetäuscht werden? Warum sind Unternehmen unfähig, mit menschlicher Stimme zu sprechen? Wie auch immer, der Cyberspace ruft nach Regeln. Wieder geht es um die Formulierung zukunftsweisender Ziele sowie um Mittel, diese zu erreichen. Diese sind nicht mehr die der Alleinherrschaft eines Hammurabi. Im Gegenteil: Seine Unterzeichner sind keine Herrscher, auch keine demokratisch legitimierten Volksvertreter. Sie agieren als Bürger aus rein individuellen Motiven und sprechen im Cluetrain-Manifest eine Sprache der Beteiligung. Viele Thesen sind als Fragen formuliert, entstanden in einem Prozess, in dem viele ihren Einfluss geltend machen. Den drei Beispielen aus unterschiedlichen Zeiten und Kulturen sind folgende Punkte gemein: – Governance: Es geht immer wieder neu um die Formulierung und Durchsetzung von Visionen bzw. Zielen. Es geht um Governance im Sinne der Frage: Welche Akteure und Institutionen sind in der Lage, konsistente Zukunftsvorstellungen zu entwickeln und umzusetzen? – Kontextbezug: Hammurabis Gesetze sind auf die im Umbruch und Chaos befindliche babylonische Gesellschaft zugeschnitten und suchen diese zu regeln. Die Cluetrain-Thesen sind stark durch die individualistische Sichtweise der sozio-ökonomischen Elite der nordamerikanischen Internetvordenker geprägt. Das Misstrauen gegen jede Form institutioneller Macht, sei es die Regierung, seien es aggressiv auftretende Unternehmen, kommt darin zum Ausdruck. Die Enquete-Kommission debattiert im Freundesgabe Büllesbach 2002 Ortswechsel – Regeln in informatisierten Gesellschaften 41 scheinbar alternativlosen, komplexen, von wirtschaftlichen Interessen dominierten Kontext der hochentwickelten Industriestaaten mit ihrer Ausrichtung auf Wettbewerbsfähigkeit sowie einer Laissez-faire-Haltung gegenüber wirtschaftlichen Akteuren. – Explizite Festschreibung: Hammurabis Gesetz, eingemeißelt in einer steinernen Stele, macht Rechtsprechung »sichtbar«. Die schriftliche Fixierung, für damalige Zeiten ungewöhnlich, erschwert unterschiedliche Auslegungen und nachträgliche Manipulation. Das gilt auch für die Positionen der Enquete-Kommission sowie das Cluetrain-Manifest. In all diesen Fällen sind die Governance-Bemühungen explizit, in Worten festgeschrieben. Ziel ist, durch schriftliche Normensetzung Visionen gesellschaftlicher Zukünfte transparent zu machen, Orientierung zu geben und die jeweiligen Ziele umzusetzen. Doch die explizit festgeschriebenen Regelwerke decken nur Teile der komplexen Lebenswelt ab. Trotz, vielleicht auch gerade wegen, der heutigen Wortbzw. Informationsflut, die aus unterschiedlichsten Quellen und Kanälen über uns hereinbricht, besteht gleichzeitig eine große Nachfrage nach Transparenz und Orientierungswissen. Während Zeitdiagnostiker in den Feuilletons unserer Zeitungen von emergenten Phänomenen, autopoietischen Strukturen und Sachzwängen schreiben, wächst in der Gesellschaft die Sehnsucht nach konkret handelnden Menschen, an denen Visionen und Verantwortung festzumachen sind. Deshalb ist der Boden fruchtbar für Formeln wie der »Kampf des Guten gegen Achsen des Bösen«, die so selbstverständlich daherkommen, als ob wir alle implizit wüssten, was denn das Gute und das Böse sei. Dies wirft die Frage auf, ob es neben den offiziellen und expliziten Governance-Feldern noch ganz andere Quellen für wirkungsmächtige Regeln unserer Gesellschaft gibt. Gibt es eine unsichtbare Governance des Alltags, deren implizite, nicht festgeschriebene Regeln wir nur schwer erkennen können, und die deshalb mit der aktuellen Governance-Debatte kaum in Zusammenhang gebracht werden? 2. Von impliziten Regeln Wie kommen wir dieser Normenwelt des Alltags näher? Können wir aus der Beobachtung dessen, was wir alltäglich tun bzw. womit wir alltäglich umgeben sind, etwas über implizite Regeln und Formen der Governance lernen? Blicken wir zum Test in die Themenfelder Marketing, Architektur und Fortschritt. Marketing: »If you can get children by the age of two and target them incessantly between the ages of three and eight, they become lifelong consumers of your product.« (Leary Adbusters 2001). Konsum bestimmt unser Leben und immer stärker versuchen Werbestrategen, Markenprägungen bereits in der frühen Kindheit zu setzen. Freundesgabe Büllesbach 2002 42 Minx/Preissler Abb. 3: Frühe Markenprägung. Quelle: Adbusters Magazine 08/01 Schon 1910 hatten »Kundenwerber« wie der Leipziger Johannes Weidenmüller erkannt: »Werbung ist Nachricht von Ware oder Dienstleitung oder Geschäft in willenbewegender Form« (Schindelbeck Universitas 2002). Es geht hier nicht darum, wie man diese subtile Form der Beeinflussung menschlicher mentaler Modelle moralisch bewertet. Vielmehr geht es darum, sie als eine hochwirksame Form der Governance zu begreifen, denn Werbeexperten haben »die einmalige Chance, nicht nur Produkte zu verkaufen, sondern Ideen, die zu einem besseren Leben führen können, in Europa und möglicherweise auf der ganzen Welt« (Schindelbeck Universitas 2002). Mit diesen Worten wies Eric Woldemar Stoetzner schon 1943 darauf hin, wie das mentale Terrain im Nachkriegsdeutschland mit Mitteln der Public Relations reif für »den amerikanischen Pflug« gemacht werden könne. Die Verwirklichung einer »Konsumdemokratie« war das Ziel (Schindelbeck Universitas 2002). Architektur – Auch die Entwürfe von Architekten und Stadtplanern drücken implizit Vorstellungen darüber aus, wie menschliches Zusammenleben und die Gesellschaft organisiert werden sollen. Beispiel: die »Städte des Maschinenzeitalters« (Eaton 2001) spiegeln in deren statischen und wabenförmig gegliederten Strukturen die Ideale einer Massen- und Fließbandproduktion wider. Die entsprechend gestalteten Wohnblocks suchen auch jenseits der Arbeitsorte die Lebensweise der Menschen in entsprechende Regeln zu fassen. Abb. 4: Städte des Maschinenzeitalters. Quelle: Eaton, R. 2001 Freundesgabe Büllesbach 2002 Ortswechsel – Regeln in informatisierten Gesellschaften 43 Im Gegensatz dazu verwiesen beispielsweise die Situationisten mit ihrer Idee des Homo Ludens auf eine spielerische Deregulierung der starren städtischen Formen: »Wir glauben vor allem, dass die Welt geändert werden muss. Wir wollen die denkbar befreiendste Transformation der Gesellschaft und des Lebens, in die wir eingesperrt sind«. Abb. 5: Städte des Homo Ludens. Quelle: Eaton, R. 2001 Guy Debord beschreibt 1957 die wechselseitigen Beeinflussungen von (urbanen) Lebenswelten und menschlichem Verhalten wie folgt: »Wir müssen neue Umwelten schaffen, die zugleich das Produkt und das Instrument neuer Verhaltensweisen sind« (Eaton 2001). Welches Stadtbild würde unseren heutigen Governance-Zielen entsprechen? Fortschritt: Fortschrittliches Denken wird heute in Ermangelung alternativer Gesellschaftskonzepte vielfach mit ökonomischem Denken identifiziert (Herzinger 2001). Es geht um internationale Wettbewerbsfähigkeit, Wirtschaftsstandorte und deren Fähigkeit, Kapital von den globalen Finanzmärkten anzuziehen. Die Kategorie Wert hat sich entsprechend in Richtung ökonomischer Dimensionen bewegt. Regionen und Kommunen werden nach Investitionskriterien beurteilt, Unternehmenswerte in Aktienkursen ausgedrückt und Menschen als Humankapital vermessen. Der Idealtyp der »Neuen Ökonomie« ist der Agent, der mit selbstbewusstem Wissen über seine jeweiligen Präferenzen aktiv und selbstbestimmt lebt. Preise, die im »idealen Markt« die einzig relevante Information sind, um über Produkte und Services Bescheid zu wissen, sind die Grundlage, um agieren zu können. Der Fortschritt bzw. die Qualität von Wirtschaftssystemen werden am BIP festgemacht: je höher das BIP/Kopf, desto höher ist die Lebensqualität. Dies alles erscheint wie eine Naturgewalt, an die man sich anpassen muss, um nicht daran zu Grunde zu gehen. Trotzdem scheint das alles so richtig nicht aufzugehen. Wir wissen, so wenig es ideale Märkte gibt, auf denen »rational agierende Nutzenmaximierer« interagieren, so wenig werden die Versprechungen von »reibungsfreien Ökonomien« eingelöst werden können. Dies gilt ebenso für die aktuellen Visionen von Stadt- und Raumplanung mit den damit Freundesgabe Büllesbach 2002 44 Minx/Preissler zusammenhängenden Fragen des modernen städtischen Lebens. Auch die neuen Versprechen von Ganzheit, wie sie Richard Herzinger in der integrativen Konsum- und Warenwelt und der zugehörigen künftigen Konsumentendemokratie sieht (Herzinger 2001), sind aus heutiger Sicht alles andere als abgemachte Sache. Insgesamt ist dem englischen Management-Berater Charles Leadbeater zuzustimmen, wenn er attestiert, dass eine »motivierende utopische Vision, wie unsere Gesellschaft künftig aussehen könnte« derzeit nicht in Sicht ist. Die alte Formel, wonach »wer hart arbeitet und sparsam ist, ein Leben in Sicherheit mit stetig steigendem Einkommen hat und einem stabilen und ruhigen Lebensabend zusteuert«, klingt heute jedenfalls antiquiert (Scitovsky 1992). Die Governance künftiger Gesellschaften hängt aber davon ab, wie wir Gesellschaften wahrnehmen bzw. aus welcher Perspektive wir auf sie blicken. Wo suchen wir überhaupt nach Fortschritt bzw. nach Zukunft? Ein vielfach gehandelter Kandidat ist die Informationsgesellschaft. 3. Die Informationsgesellschaft – Idee oder Realität? Immer stärker tritt der Begriff »Information« als charakterisierende Größe der modernen Welt hervor, und Länder wie die USA, Japan und Deutschland werden als die Informationsgesellschaften von morgen identifiziert. Dabei sind folgende Perspektiven im Spiel (Preissler 1997): – Die technische Sicht – die Datenautobahn: Dieses Bild der Informationsgesellschaft ist wesentlich geprägt durch die Leistungssteigerung der Informations- und Kommunikationstechnologie. Die gleichzeitige Konvergenz von Rechnerleistung, Telekommunikation und Medien ist unbestritten der Trend der neunziger Jahre. Unbeantwortet bleibt jedoch die Frage, wie viel Informations- und Kommunikations-Technologie notwendig ist, um eine Informations- von einer Industriegesellschaft unterscheiden zu können (Webster 1995). – Die ökonomische Sicht – die »New Economy«: Der Internet-Boom führte zur oft geäußerten Meinung, die Wirtschaft habe die Ära der zyklischen Entwicklung überwunden und befinde sich nun in einer Phase des langen Aufschwunges (Porat 1977). Das Platzen der Spekulationsblase bestätigte die Kritiker und enttäuschte diejenigen, die in der Tat auf eine »Neue Ökonomie« gehofft und in diese Hoffnung investiert hatten. Insgesamt ist die Bedeutung von Informationstechnologien für Wirtschaft und Gesellschaft unbestritten. Jedoch ist die Wirtschaft nach wie vor stark durch die Nutzung bodenständiger Faktoren, von natürlichen Ressourcen bis hin zu menschlicher Arbeitskraft geprägt, die sich nicht ohne weiteres »virtualisieren« lassen. – Die soziale Sicht – Information als gesellschaftlicher Machtfaktor: Aus dieser Perspektive wird versucht, die Informationsgesellschaft über die Freundesgabe Büllesbach 2002 Ortswechsel – Regeln in informatisierten Gesellschaften 45 Nutzung von Technologien sowie deren gesellschaftliche Bedingungen zu interpretieren. Was sind die Rahmenbedingungen der Nutzung von Informations- und Kommunikationstechnologien (Kosten, Qualifikation, Demographie)? Wie steht es um die mögliche Überwachung von Mitarbeitern mittels Technologien? Trotz weiter steigender Durchdringung der Gesellschaft mit Technologien ist deren Nutzung nach wie vor stark unterschiedlich ausgeprägt (Castells 2001). – Arbeit – die »Informationsarbeiter«: Die Informationsgesellschaft wird vielfach aus der Anzahl der Erwerbstätigen definiert, deren Arbeit der Umgang mit sogenannter Information ist. Wenn die Zahl der Lehrer, Rechtsanwälte, Finanzdienstleister und Unterhalter die Zahl der Stahl-, Werft- und Bauarbeiter übersteige, so konstituiere dies die Informationsgesellschaft. Auch diese Definition ist wegen des Zuordnungsproblems umstritten. Ist der Bahnangestellte im Stellwerk, der Zugfahrpläne verarbeitet, mit anderen Stellwerken kommuniziert und die Streckenbenutzung regelt, ein Informationsarbeiter? Laut Statistik ist er bisher ein »Industriearbeiter«. – Kultur – die Sucht nach weniger und mehr Information: Der Begriff Kultur bezeichnet einen Satz von gemeinsam getragenen – meist impliziten – Theorien, Meinungen und Anschauungen darüber, wie das gesellschaftliche Leben abläuft. In den hochentwickelten, westlichen Gesellschaften ist die Alltagserfahrung in einem bisher nie da gewesenen Umfang durch Medien und eine anwachsende Informationsflut gekennzeichnet. Paradoxerweise ist es gerade diese starke Zunahme von medialer Information, die Kritiker aufgreifen, um vom »Ende der Informationsgesellschaft« zu sprechen. Die schiere Informationsmenge, deren extreme Vielfalt, Kurzlebigkeit und Widersprüchlichkeit mache sie selbst bedeutungslos. Was also soll die Informationsgesellschaft sein? Außer der Meinung, dass Information einen zunehmenden Stellenwert in der Gesellschaft einnehme, gibt es kaum Übereinstimmung über deren wesentliche Merkmale. Wir werden auch künftig mit der Spannung zwischen Euphorie und grundsätzlichen Zweifeln über die Legitimität des Konzeptes leben müssen. 4. Zukunft anders denken und schaffen Doch das ist nicht neu. Im Gegenteil: Vorschnelle Euphorien haben eine ebenso lange Tradition wie Fehlprognosen. So meinte der berühmte Mathematiker und Erfinder Lord Kelvin im Jahr 1897, »Das Radio hat absolut keine Zukunft«. Thomas J. Watson, Vorstandsvorsitzender der IBM, meinte 1943: »Ich glaube, auf dem Weltmarkt besteht Bedarf für fünf Computer, nicht mehr«. Und Ken Olsen, CEO des Computerherstellers Digital, sah noch 1977 keinen Grund, »warum einzelne Individuen ihren eigenen Computer haben sollten«. Gesellschaftliche Entwicklungen entziehen sich wegen ihrer inhärenten Freundesgabe Büllesbach 2002 46 Minx/Preissler Dynamik, Komplexität und Widersprüchlichkeit der exakten Vorhersage. Aber darauf kommt es nicht an. Es geht nicht darum, die Zukunft vorzusagen, es geht vielmehr darum, sie mitzugestalten. Das bedeutet auch: Die Zukunft ist kein von vorneherein feststehender Endzustand, der uns von außen aufgezwungen wird. Was bedeuten nun diese Bemerkungen zu expliziten und impliziten Regeln sowie dem Umgang mit Zukunft für Governance? Zunächst zur Nichtvorhersagbarkeit von Zukunft: wegen der prinzipiellen Offenheit der gesellschaftlichen Entwicklung wird es keine GovernancePatentrezepte geben. Aber gleichzeitig gilt, dass erst wenn wir die Zukunft als gestaltbar erkennen, statt auf scheinbar alternativlose Entwicklungen lediglich zu reagieren, können wir daran gehen, unsere Zukunft bewusst mitzuprägen. Entsprechend ist und bleibt ein kritisches Begreifen der Wirklichkeit, die Akzeptanz von Alternativen, Voraussetzung für politisch angemessenes Handeln. Denn wo es keine Alternativen gibt, wo Sachzwänge herrschen und Notwendigkeiten regieren, besteht kein Bedarf an parlamentarischer Regelung. Die Dinge regeln sich gemäß einem inhärenten Plan gleichsam selbst. Das bedeutet auch die Akzeptanz von Widersprüchen, Offenheit und Ambivalenz. Dafür kommt es in vielen Fällen eher darauf an, richtige Fragen zu stellen, als »richtige« Antworten geben zu wollen. In diesem Sinn ist Friedrich Hayek zuzustimmen: »Liberty is essential in order to leave room for the unforeseeable and unpredictable; we want it, because we have learned to expect from it the opportunity of realizing many of our aims. It is, because each individual knows so little and, in particular, because we rarely know which of us knows best that we trust the independent and competitive efforts of many to induce the emergence of what we shall want when we see it« (Hayek 1960). Was zeigt der Blick auf die expliziten Regeln der Gesellschaft? Die Governance eines Hammurabi, der als Alleinherrscher, ausgestattet mit göttlicher Macht, gesellschaftliche Regeln einsetzt, ist heute nicht in Sicht. Schon eher scheint das aus diversen Subkulturen geborene Cluetrain-Manifest in seiner diskursiven Art zur heutigen, an vielen Konfliktlinien gebrochenen, komplexen Gesellschaft zu passen. Governance muss den Ansprüchen pluraler Gesellschaften entsprechen, die keine Mitte, keinen gemeinsamen Kern haben. Zu fragen ist, ob gar die Idee gesamtgesellschaftlicher Ziele vielleicht überholt ist und Governance-Systeme nur noch Regeln für den Ausgleich individualisierter und partikularer Interessen schaffen müssen. Es wird dann wichtiger, dass die konkret handelnden Akteure mit ihren normativen und utopischen Positionen deutlich werden. Auch müssen wir unterscheiden zwischen Zielen einerseits und Mitteln, diese zu erreichen, andererseits. Wenn wir z. B. richtigerweise Bildung und Erziehung als wesentlich für die weitere Entwicklung einer Informationsgesellschaft ansehen, muss es nachdenklich stimmen, wenn der Fortschritt auf diesem Weg lediglich anhand von Statistiken über die Computernutzung in Schulen ermittelt wird. Was ist hier Mittel, was ist Zweck? Auch eine Freundesgabe Büllesbach 2002 Ortswechsel – Regeln in informatisierten Gesellschaften 47 100%ige Durchdringung unserer Schulen mit Computern wird nichts grundsätzlich an der Thematik ändern, wie unsere Kindern z. B. lernen zu lernen. Hier müssen die Bildungsinstitutionen insgesamt kritisch überdacht werden, vor dem Hintergrund, was denn mögliche Bildungsziele und -inhalte für morgen sein müssten. Gibt es z. B. so etwas wie zukunftsfeste Bildungsinhalte und wenn ja, wie sehen diese aus und wie lassen sie sich vermitteln? Es ist ebenso zu fragen, was wir im Hinblick auf die laut geforderte Sozialkompetenz aufgeben, wenn wir Erziehungsaufgaben immer früher »professionalisieren«, indem Kindergarten- und Vorschulkinder zwar »Full time« versorgt sind, gleichzeitig aber berufstätige Eltern immer weniger für sie da sind, damit die »Haushaltskasse stimmt«. Was bedeuten schließlich die impliziten Regeln der Gesellschaft für Governance? Die Beispiele aus den Bereichen Marketing, Wirtschaft und Architektur zeigen den subtilen Einfluss einer Normenwelt des Alltags auf unsere Vorstellungen von wünschbaren Zukünften ebenso, wie sie die faktische Umsetzung gesellschaftlicher Interessen und Machtverhältnisse ausdrücken. In der bewussten Wahrnehmung und Mitgestaltung dieser Felder liegen große Gestaltungsfelder und Potenziale künftiger Regulierung. Das Gesagte ist deshalb ein Plädoyer für eine Erweiterung des Blickfeldes in der Governance-Diskussion. Governance-Systeme müssen selbst zu einem Governance-Thema werden. So treten zu den traditionellen GovernanceAkteuren wie z. B. politische Institutionen, Nicht-Regierungsorganisationen, Verbände, etc. neue, wirkungsmächtige Akteure, die maßgeblichen Einfluss auf die Entwicklung haben. In einer Gesellschaft, die maßgeblich mit Informationsströmen durchdrungen ist, könnten dies z. B. die von Robert Reich genannten Symbolic Analysts sein, die wesentlich die mentalen Modelle von Menschen prägen, wie z. B. die Werbewirtschaft, Medien, Lehrer, etc. Die Reflexion des Inhaltes und der Reichweite des Governance-Begriffes ist auch deshalb wichtig, weil Governance oft als »Containerbegriff« gebraucht wird und unklar ist, welche Akteure bzw. welche Diskurse darüber entscheiden, was in den Container darf und was nicht – grundlegend kritische Positionen zumeist nicht (Brand Freitag 2000). Hierzu könnte das Konzept einer Global Public Policy, die ein Netzwerk zwischen öffentlichen, privaten, nationalen, regionalen und kulturellen Organisationen einschließt, hilfreich sein (Reinicke 1998). Governance, die auf einfache Wahrheiten baut, alternativlose Zukünfte proklamiert und sich auf kategorische Aufteilungen der Welt bezieht, kann vielleicht eine Zeitlang – oft nur durch Einsatz von Gewalt – wirksam sein, langfristig wird sie scheitern. Und: Die 4000 Jahre Governance seit Hammurabi zeigen: Es gibt keine Regel, wonach sich Regeln bilden. Literatur Baer, O. 2000: Miteinander reden. brandeins, 03/2000, in: http://www.brandeins.de/magazin/archiv/2000/ausgabe_03/cluetrain/artikel4_1.html Freundesgabe Büllesbach 2002 48 Minx/Preissler Brand, U., Brunnengräber, A. (2002): Auf der Suche nach der anderen Globalisierung. Zum Zwischenbericht der Enquete-Kommission. Blätter für deutsche und internationale Politik 2/2002, Bonn 2002 Brand (Freitag 2000), Global Governance. Der Ruf nach einer »neuen Weltordnungspolitik« und der Rückkehr zu staatlicher Steuerungsfähigkeit. In: Freitag 16, 14. April 2000 Castells, M. (2001): Die Netzwerkgesellschaft. Opladen 2001 Codex 2002: Übers. aus: Peiser, F. E, Kohler, J. (1904): Hammurabis Gesetz. Bd. I. Leipzig 1904. In: http://www.weltrecht.de/kontakt/texte/hammurabi.htm Eaton, R. (2001): Die ideale Stadt. Berlin 2001 Hayek, F., A. (1960): The Constitution of Liberty, London 1960 Herzinger, R. (2001): Republik ohne Mitte. Ein politischer Essay. Berlin 2001 Leary Adbusters 2001: Kevin O‘Leary, President der Learning Company Inc. Zitiert in: Adbusters 08/01, Media Foundation, Vancouver 2001 Martin, W., J., The Global Information Society, Aslib Gower, London, 1995 Porat, M. (1977): The Information Economy: Definition and Measurement, OT Special Publ. 77-12 (1), US Department of Commerce, Washington DC 1977 Preissler, H. (1997): Kundenkommunikation in der Informationsgesellschaft. DaimlerChrysler AG, Berlin 1997 Reinicke, W. H. (1998): Global Public Policy. Governing without Government? Washington 1998 Schindelbeck 2002: Was eine Gesellschaft zusammenhält. Kleine Konsumgeschichte der Bundesrepublik Deutschland 1945-1990. In: Universitas 03/ 2002, Nr. 669, Stuttgart 2002 Scitovsky, T. (1992): The Joyless Economy, Oxford, 1992 Webster, F. (1995): Theories of the Information Society, London 1995 Freundesgabe Büllesbach 2002 49 Sebastian Dworatschek Projektorganisationen und IT-Dienstleistungen Innovation in Organisation und IT-Infrastruktur Informationstechnologische Infrastrukturen, bestehend aus ComputerHardware und -Software und telekommunikativen Netzen (Internet etc.), bieten heute wesentliche instrumentelle Hilfen, um betriebliche Aufgaben methodisch lösen zu können – in Unternehmen verschiedener Branchen, in Wissenschaftsorganisationen und öffentlichen Verwaltungen. Darüber hinaus aber prägen IT-Ausstattungen immer mehr auch die Organisationsstrukturen und die Formen der Zusammenarbeit in Produktion, Dienstleistung und Wissenschaft. Einen zweiten, einflussreichen Faktor kann man in der neuen (Inter-)Disziplin »Projektmanagement« erkennen, mit deren Einführung viele Organisationen derzeit befasst sind. Sie überprüfen ihre traditionellen hierarchischen Organisationsstrukturen und erproben immer mehr neue Formen der Projektorganisation. Zwischen beiden Faktoren »IT-Ausstattung« und »Projektorganisation« entwickeln sich synergetische Effekte. Widersprüchliche Organisationsbewertungen Jeder Betrieb – sei es ein Handwerksbetrieb, ein Multi-Konzern oder eine öffentliche Verwaltung – ist in irgendeiner Weise organisiert. Die Intensität, in der ein Betrieb durchorganisiert ist, kann mehr oder weniger formal oder informell ausgeprägt sein; seine Organisationsform kann gewachsen oder willentlich gestaltet, deutlich sichtbar oder nur vage erkennbar sein. Befragungen in Fortbildungsseminaren haben ergeben, dass ein Großteil der Teilnehmer nicht in der Lage war, das Organisationsmodell des eigenen Betriebes anzugeben. Diese Schwierigkeiten, die eigene Organisationsform zu beschreiben, braucht nicht weiter zu verwundern. Die Größe heutiger Organisationen in Wirtschaft und Verwaltung, die Komplexität computergestützter Dienstleistungs- und Produktionsprozesse, Fusionierungen und Globalisierung, die Mischformen aus den Organisationsmodellen und nicht zuletzt widersprüchliche Organisationsregeln tragen zu dieser Desorientierung bei. Die Organisationstheorie tut sich schwer, widerspruchsfreie Organisationsregeln und praktisch umsetzbare Gestaltungsempfehlungen zu geben. Der Organisationspraktiker bleibt doch oft auf die Methode »Versuch und Irrtum« angewiesen. Anhänger der Zentralisation vertreten ihren Standpunkt ebenso überzeugt wie die Vertreter der Dezentralisierung. Lehrbücher der Organisation verfechten nach wie vor kompromisslos die Forderung nach »personenunabhängiger« Organisationsgestaltung – obwohl jeder Praktiker weiß, dass Freundesgabe Büllesbach 2002 50 Dworatschek viele Organisationen um das Merkmalsprofil dominierender Führungskräfte oder Firmeninhaber herum aufgebaut werden. »Lean Management« fordert, die Zahl der Hierarchieebenen und Rangstufen zu verringern. Gesellschaft, Bildungssystem und betriebliche Karriereversprechungen erziehen aber zu einer Erwartungshaltung nach programmiertem »beruflichen Aufstieg«. Seit H. Fayol wiederholen Lehrbücher den Grundsatz »Einheit der Auftragserteilung«. Diesem Hierarchieprinzip hat bereits W. Taylor die Idee der »fachbezogenen Mehrfachunterstellung« entgegengesetzt. Heute sind zweidimensionale Matrixorganisationen weit verbreitet. Als Symptom für das weit verbreitete Unbehagen an dogmatischen Organisationsregeln können Bücher gelten, die sich ironisch mit solchen Grundsätzen beschäftigen, wie: »Parkinsons Gesetz«, »Das Peter-Prinzip«, »Hoch lebe die Organisation«, »Der Karriere-Terror« und »Management durch Fehlentscheidungen«. Die Mitglieder einer Organisation und externe Berater scheinen sich einig zu sein, dass eine optimale Organisationsform für das Funktionieren eines Betriebes außerordentlich wichtig ist – auch wenn es bei einer konkreten Organisation widersprüchliche Bewertung gibt. Ein Sachbearbeiter rügt beispielsweise bei auftretenden Schwierigkeiten im Arbeitsablauf die schlechte Organisation der Firma. Ein Abteilungsleiter entschuldigt ungenügenden Informationsaustausch mit anderen Abteilungen mit Mängeln in der ITOrganisation. Gleichzeitig rühmt der Vorstandssprecher auf einer Pressekonferenz das fortschrittliche Organisationsmodell seiner Unternehmung. Jeder der drei genannten Beurteiler bewertet die Organisation so, wie er sie erlebt, wie sie auf ihn wirkt, ihn einschränkt oder ihm Freiheitsgrade bringt. Ihre Interessen und Forderungen an die Organisation sind zwar in vielem gleich, keineswegs aber identisch. Das Management beurteilt die Effizienz eines Organisationsmodells danach, wie weit das erwünschte Leistungsergebnis (Leistungsmenge, Gewinn, Rentabilität usw.) erreicht werden kann. Ferner: Wie gut die verfügbaren Ressourcen (Betriebsmittel, Rohstoffe, Personal, Patente usw.) genutzt werden. Auch: Wie gut kann der Produktions- bzw. Leistungsprozess gesteuert und kontrolliert werden: Wie schnell und geschickt kann die Organisation auf veränderte Umweltanforderungen (geänderte Kundenwünsche), Umweltstörungen (Konkurrenzaktionen) und rechtliche Rahmenbedingungen (Wirtschaftsgesetze) reagieren. Als Mitglied einer Organisation bewertet der Arbeitnehmer diese danach, wie weit sie seine eigenen Interessen erfüllt und wie weit er eigene Zielvorstellungen in das Zielsystem der Organisation mit einbringen kann. Insbesondere kann er die Organisation danach beurteilen, wie weit sie ihm ermöglicht, mit seinem persönlichen Arbeitseinsatz eine sichtbare Leistung zu erbringen und diese entsprechend entgolten zu bekommen. Ferner prüft er, wie weit die Arbeitsorganisation ihm Freiheitsgrade verschafft: körperliche (Bindung an die Maschine), geistige (Vielfalt der Tätigkeiten), psychische (Monotonie, Stress), soziale (Kontakte zu Kollegen, Gruppenbeziehungen), inFreundesgabe Büllesbach 2002 Projektorganisationen und IT-Dienstleistungen 51 formationelle (Überblick und Transparenz der Organisationsstruktur und der Arbeitsprozesse). Einen wesentlichen Einfluss üben heute die informationstechnologischen Hilfsmittel (PC, Notebook, Software, Internet etc.) aus. Methoden der Tätigkeitsanalyse (u.a. Analyse der Unfallgefährdung, der ergonomischen Belastungen, der Software-Hilfen, der IT-Akzeptanz) helfen dem Arbeitnehmer, seine Arbeitsorganisation nach diesen Kriterien hin zu überprüfen. Informationstechnologie und Projektorganisation »Organisationen« lassen sich als »soziale Gebilde, die dauerhaft ein Ziel verfolgen und eine formale Struktur aufweisen, mit deren Hilfe Aktivitäten der Mitglieder auf das verfolgte Ziel ausgerichtet werden sollen« charakterisieren (Kieser u. Kubicek 1983, S. 1, 79, 224), wobei fünf Hauptdimensionen der Beschreibung dienen: Spezialisierung (Arbeitsteilung), Koordination, Konfiguration (Leitungssystem), Entscheidungsdelegation (Kompetenzverteilung) und Formalisierung. Der »Situative Ansatz« formuliert – auf der Grundlage internationaler, empirischer Studien – interne Situationsfaktoren der Organisationsstruktur: Leistungsprogramm, Fertigungstechnologie, Informationstechnologie, Rechtsform und Eigentumsverhältnisse, Alter der Organisation, Art der Gründung, Entwicklungsstadium der Organisation. Zu den externen Situationsfaktoren zählen: Konkurrenzverhältnisse, Kundenstruktur, Technologische Dynamik, Gesellschaftliche Bedingungen und Kulturelle Bedingungen. Dieser situative Dimensionierungsansatz weist u.a. deutlich auf technologische Einflussfaktoren der Organisations(struktur)entwicklung hin – intern die »Informationstechnologie« und extern die »Technologische Dynamik«. Tendenzen waren früh erkennbar: »Vor allem hat die Entwicklung der Informationstechnologie durch die Verwendung von Mikroprozessoren und durch ihre Verknüpfung mit der Nachrichten- oder Kommunikationstechnik einen großen Sprung getan, dessen Auswirkungen erst in Ansätzen erkennbar sind und heute äußerst kontrovers diskutiert werden« (Kieser u. Kubicek 1983, S. 314). Heute prägt sicherlich intern die »Informationstechnologie«-Ausstattung (PC, Server, Intranet, Internet , Netze etc.) wesentlich die Organisation der Arbeitsprozesse. Auch muss bezüglich des externen Faktors »Technologische Dynamik« deutlich von einer überaus hohen Produkt- und Marktdynamik gesprochen werden – sowohl was die IT-Innovationsraten (Produkt-Lebenszyklen) als auch die Globalisierung betrifft. Informationstechnologien in ihrer Dynamik und ihrer Vielfalt, in ihren neuartigen Nutzerfunktionen und sich ausweitenden Anwendungsfeldern nehmen maßgeblich Einfluss auf die Organisationsstrukturen innerhalb von Unternehmen (vernetzte PC-Arbeitsplätze, etc.) als auch in den Außenkooperationen (z.B. E-Commerce, globale Arbeitsteilung). Einfluss und Dynamik der IT-Ausstattungen in Organisationen unterstützen den Trend, die Organisationsformen der Unternehmen häufiger in Frage zu Freundesgabe Büllesbach 2002 52 Dworatschek stellen, zu verändern und neuen Umfeldsituationen anzupassen; IT-Ausstattungen und IT-Infrastrukturen können einen dominierenden Einfluss auf die Auswahl der Unternehmensorganisation haben. Wesentlich unterstützt wird dieser Trend, Organisations-Überprüfung, -Reengineering und -Entwicklung häufiger zu wagen, durch einen weiteren Veränderungsfaktor. Die Führungskonzeption »Projektmanagement« prägt zunehmend die Diskussion in der Organisationstheorie und die organisationspraktischen Experimente in der Betriebswirklichkeit – bis hin zur »Projektorientierten Unternehmung«. Dabei stellt sich die Frage, wie angesichts neuer unternehmensstrategischer Herausforderungen (Partnersuche in Ost- und Westeuropa, Globaler Wettbewerb, Risikoinvestitionen, Innovationsrate, IT/Wissenssysteme etc.) eine geeignete »Projektorganisation« gefunden werden kann. In diesem Zusammenhang wurde bereits vor Jahren eine breite »Lean«Diskussion in Gang gesetzt. Mit den ursprünglich direkt auf den Produktionsprozess bezogenen Schlagworten »Lean Production« oder »schlanke Organisation« verbanden sich Visionen, Konzepte und Methoden, um bestimmte Strukturen und Prozesse zu analysieren und zu gestalten. Zu nennen sind: Business-Reengineering, Profitcenter, dezentrale Geschäftseinheiten (business units), Kernkompetenz, Make-or-Buy-Analyse, Outsourcing (Aufgaben auslagern), Management buy out, Privatisierung (von Verwaltungen), ABCAnalysen; Portfolioanalyse; Design-to-Cost; Target Costing, GemeinkostenWertanalyse; Aufgabenkritik, Benchmarking, Total Quality Management TQM, Simultaneous Engineering, Rapid Prototyping, Time to Market, Just-in-Time JIT und Kanban/KVP. Über die formale Strukturgestaltung hinaus ergeben sich weitergehende Gestaltungsparameter für eine optimale Projektorganisation: »Eine Organisation strukturiert sich nach den Gesetzen des Verstandes in der ersten Dimension (formale Organisation, d. V.), sie hat ihr Gefühlsleben (Klima, Image, Ausstrahlung) in der zweiten Dimension und entwickelt eine Eigendynamik in der dritten Dimension. Auch ein Projekt lebt nach den gleichen Grundsätzen. Es bildet eine Struktur, eine Kultur und eine Dynamik und bedarf der Struktur-, Kultur- und Dynamik-Pflege« (Haberfellner u. Daenzer 1994, S. 289). Horizontale Kommunikation durch Projektteams Organisationen entstehen durch Aufteilung des Arbeitsvolumens und Zuordnung auf einzelne Organisationseinheiten, wie Stellen und Abteilungen. Die Arbeitsteilung zwischen der vertikalen Hierarchie angeordneten Abteilungen muss durch koordinierende Maßnahmen wieder zu einem ganzheitlichen Arbeitsprozess integriert werden. In einer Seminarreihe für 150 Führungskräfte der mittleren bis oberen Ebene eines Kreditinstitutes mit einigen Tausend Beschäftigten wurden die Teilnehmer nach ihren wichtigsten Problemfeldern befragt. Die Mängel im Informationsfluss zwischen den AbFreundesgabe Büllesbach 2002 Projektorganisationen und IT-Dienstleistungen 53 teilungen und Geschäftsbereichen wurde als eines der drei belastendsten Probleme von insgesamt vierzehn genannten Problemfeldern empfunden. Mindestens die gleichen, eher noch größeren Schwierigkeiten stellen sich den Beschäftigten der unteren Hierarchieebenen, wenn sie geschäftsbereichsübergreifende Zusammenarbeit suchen und versuchen. Wesentliche Hilfe zur fachübergreifenden Kommunikation bieten die bereits genannten Faktoren: IT-Infrastruktur und Projektmanagement bzw. Projektorganisation. Bei einer Befragung für eine Managementakademie nannten Führungskräfte Hindernisse für die erfolgreiche Abwicklung von Projekten: unklare Auftraggeberziele, übergroßer Zeitdruck, mangelhafte Unterstützung durch die Unternehmensleitung (70 – 80 %), Widerstand des Projektumfeldes und personelle Fehlbesetzung des Teams (je 68 %), ungenügende Ausrichtung an Strategie- und Kundenzielen (61 – 64%). Die Führungskräfte nannten aber auch Erfolgskriterien für optimales Projektmanagement, wobei »Wirkungsvolle Projektorganisation« zu den besonders wichtigen zählte (Weser Kurier Bremen 30. 8. 97). Verschiedene nationale Projektmanagement-Verbände haben sogenannte PM-Body of Knowledge (PMBoK) entworfen, um die wesentlichen Themenfelder der Projektmanagement-Disziplin zu definieren (Pannenbäcker 2001). Die deutsche Version, der sog. »PM-Kanon« der GPM, nennt 39 Themen in folgenden vier Gruppen: Grundlagen-Kompetenz, Soziale Kompetenz, Methoden-Kompetenz und Organisations-Kompetenz.. An diesem orientieren sich auch die Fachkapitel des PM-Standardwerks (RKW u. GPM 1998). Die Themenfelder »Projektorganisationsformen« und »Teamarbeit« nahmen in den letzten Jahren auch bei den internationalen Tagungen zu Projektmanagement einen zunehmenden Stellenwert ein. Dies ist eines der Ergebnisse einer Deskriptorenauswertung von 2777 Tagungsbeiträgen in den Jahren 1988 – 2000 (Nehlsen u. Gatzmaga 2001, S. 37 – 41). Die behandelten Projektarten verteilen sich wie folgt: Forschungsprojekte (26 %), Projekte aus dem öffentlichen Verwaltungssektor (25%) Bauprojekte (17 %), SoftwareEntwicklungsprojekte (11%), Produkt-Entwicklungsprojekte (7 %) Ereignis (Event)-Projekte (4 %). »Recent experiences indicate that project work is fast becoming a majority of the work performed in modern organizations, especially for product development in high technology companies. Project-based organizations (PBOS) are definitely on the uprise. ...Two of the most important factors in project success are clear goals and upper management support. Project support means much more than just sending people off for training. ... Other important steps include organizing to reward project management, developing a project manager selection and development process, supporting core teams, developing a project management information system, and installing a project review process to learn from projects« (Englund 1999, p. 91). Freundesgabe Büllesbach 2002 54 Dworatschek Projektbeispiele Projektgruppen eignen sich für die horizontale Integration funktional gegliederter Hierarchien. Ein Projekt ist ein sachlich, zeitlich und kostenmäßig abgrenzbares Arbeitsvorhaben mit relativer Neuartigkeit, das inhaltlich mehrere (interne oder externe) Organisationsbereiche berührt (DIN 69900ff.). Die Bereiche stellen dafür ausgewählte Mitarbeiter zeitlich begrenzt frei. In einem Dienstleistungsunternehmen (Bausparkasse) ernannte der Expertenausschuss beispielsweise Projektgruppen zu den Arbeitsvorhaben: Beurteilungssystem, Verhaltensgrundsätze, Softwareentwicklung für ganzheitliche Kundenbetreuung und Mikrofilmarchivierung. Der Lenkungsausschuss eines ostdeutschen Landkreises beauftragte mehrere Projektgruppen, u.a. »Personal- und Führungskonzept« (mit den Teilprojekten »Vorschlagswesen« und »Kontraktmanagement«) und die beiden Pilotprojekte »Baugenehmigungsverfahren« und »Sozialamt/Fachdienst Soziales« (Griesche 2002, S. 350 ff.); eine andere Fallstudie behandelt ein Projekt »IT-Einsatz bei Reorganisation eines Referats« in einer Kommune (Ewert u.a. 1996, S. 165 – 181). Die Vielfalt der Projekte wird häufig gruppiert in: Investitionsprojekte (Bau/ Anlagenbau etc.), IT-Projekte, Produktentwicklungsprojekte und Organisationsprojekte. Bekannte Projektarten von Wirtschaftsunternehmen sind z. B. Bau neuer Bürogebäude, Produktionswerke oder Kraftwerksanlagen, Entwicklung eines neuen Produktes, Erschließung eines neuen Marktes, Implementierung von E-Commerce-, ERP- oder CRM-Software. Es gibt auch Unternehmen, deren gesamtes Geschäftsvolumen sich aus einem Netze von größeren Projekten zusammensetzt. Die Flugzeug- und Raumfahrtindustrie arbeitet fast ausschließlich mit der (reinen) Projektorganisation. Aber auch Computer-/ITHersteller, Beratungsunternehmen, Unternehmen der forschungsintensiven Chemie und Pharmazie und des Industrieanlagenbaus verwenden angepasste Projektorganisationen. Projektsoftware und Datenschutz Eine wesentliche Gestaltungsaufgabe bezieht sich auf den Kern einer Projektorganisation (vgl. Tab.1), nämlich die Binnenstruktur der Projektgruppen, insbesondere die Personalzuteilung und die IT-Ausstattung (PC, Projektsoftware, Internet-Nutzung etc.). Die IPMI-Software-Pyramide wies bereits vor Jahren auf die Softwarearten hin, die die Produktivität von Projektgruppen wesentlich beeinflusst; in aktualisierter Form führt sie folgende Software an: (a) Internet-Plattform: internetbasierte Informations- und Kommunikationsplattform (b) PM-Software: Software für das Projektmanagement mit den Modulen: Strukturen, Abläufe, Termine, Ressourcen, Kosten, Berichte, Freundesgabe Büllesbach 2002 Projektorganisationen und IT-Dienstleistungen 55 Tab. 1: Angebotsspektrum an Projekt-Organisationsformen Projektgruppe (Project Team; Binnenstruktur) Projekt-Leiter: Position, Funktionen, Kompetenzen, Rolle Projektgruppe (Team Building, Anzahl, disziplinäre Qualifikation) Prozess-/Ablauforganisation der Projektgruppenarbeit IT-Infrastruktur der Projektgruppe (PC, Internet, Projektsoftware etc.) Virtuelle Infrastruktur von dezentralen Projektgruppen Projektorganisation in der Unternehmensorganisation Projektmanagement in der Linienorganisation (Functional Project Org.) Projektkoordination innerhalb einer Linie(nabteilung) Projektkollegium aus Abteilungsleitern Federführende Abteilung Einfluss-Projektmanagement/Stabs-Projektorganisation Projekt-Service-Abteilung (Project Office, »Projekt-Büro«) Projekt- Matrixorganisation Linien-dominierte Projekt-Matrixorganisation (Functional Matrix) Gleichgewichtige Projekt-Matrixorganisation (Balanced Matrix) Projekt-dominierte Projekt-Matrixorganisation (Project Matrix) (Product Management mit temporären Projektfunktionen) Autonomes Projektmanagement im Unternehmen (Reine Projektorg.) Project Division, Project Profit Center, reine Projektorganisation Task Force/Project Team Organisation (strategische Aufgabe) Pool-Projects-Organisation Kundenvertrags-Organisation (Auftraggeber-/Auftragnehmer-Projektman.) Mehrstufige Projektorganisationen (Kooperationsverträge mit Dritten) Unterauftragnehmer-Organisation (Prime Contractor, Sub-Contractors) Konsortium (BGB-Gesellschaft) Aussen-Konsortium (alle Konsorten als Vertragspartner) Innen-Konsortium (Stilles Konsortium mit Konsortialführer) Arge (Arbeitsgemeinschaft; Gesellschaftsvermögen) Internationale Projektorganisationsformen (Besonderheiten) System-Projektleitung (internat. Projektteam in Managementfirma der Subcontractors) Spiegelbildliche Organisationsstruktur (Programm-, System-, Projekt-, Unterprojektpartner) Internationale Behörden (Public / Semi-Public Partners, z. B. NASA, ESA, Weltbank, Ministerien) Freundesgabe Büllesbach 2002 56 Dworatschek (c) Funktionssoftware: spezifische Ergänzungssoftware für spezifische Funktionen wie Konfigurations-, Risikoanalyse, Cost Estimation/Control, Angebotskalkulation/-erstellung) (d) Arbeitsplatz (Office)-Software: Textverarbeitung, Tabellenkalkulation, Präsentationsgrafik, Datenbank, Termin-/Message-Verwaltung, Groupware (e) Lernsoftware: Teachware, CBT, E-Learning, Wissensmanagement. In einer aktuellen Praxisstudie (Dworatschek 2002) gaben von 250 befragten PM-Experten an, MS-Project (84%), SAP/PS (41%), andere (z.T. komplexere) PM-Software (47%) zu nutzen. Zunehmende Beachtung verdienen die organisatorischen Schnittstellen, die von der Projektsoftware zu betrieblicher Fachsoftware (ERP-Module, CRM, CAD-Software etc.) geschaffen werden müssen. Globalisierung der Projekt-Bearbeitungsstandorte (u.a. Sitz eines virtuellen Projektbüros) sowie Intensität und Vielfalt der Softwarenutzung (PC/Notebooks/Internet) des Projektbüros mit starkem Bezug zu personenbezogenen Daten – wie bei Ressourcen-Potenzialplanung und -Einsatzsteuerung oder Vertragsgestaltung – zwingen dazu, sorgfältiger als bisher die Frage nach Datenschutz und nach Datensicherheit zu stellen (Dworatschek u. Büllesbach 2000). In Projekten werden viele Daten dokumentiert, temporär genutzt sowie intern wie extern flexibel verteilt – und dies meist spontan außerhalb bewährter Organisationskontrollen; die Projektbesonderheiten bzgl. Datenschutz und -sicherung müssten analysiert und in Empfehlungen umgesetzt werden. Formen der Projektorganisation Der betrieblichen Praxis bietet sich eine Variantenvielfalt von Projektorganisationsformen an (Tab.1). Einmalige Aufgaben wurden und werden oft als Projekte in der Funktionenhierarchie bearbeitet – koordiniert durch eine Abteilungsleiter-Kommission, eine federführende Abteilung oder einen Stab (Stab-Projektorganisation bzw. Einfluss-Projektmanagement). Die sehr indirekte Projektkoordination macht letztere Organisationsform wenig geeignet für risikoreiche, komplexe Vorhaben. Der Projektgedanke fordert neben der funktionalen Linie eine eigene organisatorische Projektdimension. Für derartige zweidimensionale Organisationsgliederungen entstanden Varianten der sogenannten Matrixorganisation. Die Grundidee ist einfach: eine horizontale Projektorganisation kreuzt die vertikale Funktionshierarchie. Mehrere voneinander abhängige Projekte fasst ein Programm zusammen. Ein Beispiel aus der Raumfahrtindustrie zeigt folgende Organisationseinheiten. Die vertikale Fach-Linienstruktur bilden die Hauptabteilungen für Astrodynamik, Thermodynamik, Elektronik, Strukturmechanik, Konstruktion, Fertigung(swerk) I, Fertigung(swerk) II, Produktsicherung (Qualität, Zuverlässigkeit), Rechnungswesen, Materialwirtschaft, Vertrieb/Verträge, Personalwesen. Die horizontale Projektdimension umfasst die Programm-Direktion mit den Freundesgabe Büllesbach 2002 Projektorganisationen und IT-Dienstleistungen 57 Projektleitungen 1 bis n, ergänzt um das Dienstleitungsreferat für Project Cost Control und für das Programmbudget (Portfolioplanung). Eine echte Matrixorganisation sucht die Gewaltenteilung zwischen einer vertikalen und einer horizontalen Leitungsorganisation. Das Gleichgewicht zu finden und zu wahren fällt schwer. Während die vertikale Strukturierung eher auf Dauer angelegt und personell umfangreich ausgestattet ist, wird die Programm- bzw. Projektleitung eher als Struktur auf Zeit verstanden. Die beiden Organisationsteile sollten sich nicht gegenüberstehen, sondern sich gegenseitig ergänzen. Zu diesem Zweck müssen entsprechende Aufgabenabsprachen zwischen der vertikalen und der horizontalen Organisationsstruktur geschaffen werden. Der Projektleiter ist für das »Was« (Projekt-Arbeitspakete) und das »Wann« (Termine, Meilensteine) verantwortlich. Das »Wie« (fachliches Verfahren) und das »Wer« (Personaleinsatz) bestimmt die jeweilige Abteilung der vertikalen Funktionsbereiche. Das Projektteam ist verantwortlich für die Einhaltung des Kostenbudgets, der Termine und die qualitative Zuverlässigkeit des Leistungsergebnisses. Die Funktionsbereiche liefern fachliche Dienstleistungen für die Projektgruppe. Eine umfangreiche länderübergreifende Studie (Knöpfel u.a. 1992) mit Beteiligung von 424 IPMA-Firmenmitgliedern aus über einem Dutzend Länder hat gezeigt, dass die Betriebspraxis die Projekt-Matrixorganisation in drei Ausprägungsformen nutzt: Linien-dominierte, ausbalancierte und Projektdominierte Matrixorganisation. Weitgehend einheitlich wurden flexible Modelle, von Projekt-dominierter Matrix bis Task Force, als effektiver eingeschätzt. Deutsche Unternehmen wiesen damals noch deutlich stärker funktionale IstStrukturen auf als solche in anderen Ländern. Probleme mit Projektorganisationsmodellen Ende der achtziger Jahre bewerteten bis zu 649 Projektmanager während elf Konferenzen der IPMA International Project Management Association (früher: Internet) und ihrer amerikanischen Schwestergesellschaft Project Management Institute PMI bis zu 44 Thesen zur Situation und zu Entwicklungstendenzen im Projektmanagement. Auf das Thema »Projektorganisationsformen« bezogen sich folgende Thesen: »Unzureichendes Wissen über mögliche alternative Projekt-Organisationsformen bremsen die Wirksamkeit des Projektmanagements in der Betriebspraxis« (85% Zustimmung); »Obwohl viel über Projektorganisation geredet und geschrieben wird, ist immer noch nicht bekannt, welche Organisationsform für eine konkrete Projektsituation am besten geeignet ist« (75%); »Projektbeteiligte und Projektmanager sind bislang nicht in der Lage, die Konflikte, die in Matrixorganisationen entstehen, zu bewältigen« (62%) (Dworatschek u. Gutsch 1988). Heute liegen weitaus mehr praktische Erfahrungen mit den Organisationsmodellen in den Unternehmen vor. Freundesgabe Büllesbach 2002 58 Dworatschek Insbesondere Mittelbetriebe hatten bzw. haben mit einer Reihe von Projektverfahren Anwendungsprobleme. In einer vergleichenden Studie wurden 46 mittelständische Unternehmen aus sechs europäischen Ländern, die mit Projektmethoden durch internationale Kooperationsprojekte vertraut waren, nach ihren Problemen mit der praktischen Projektarbeit befragt. Nach ProjektKoordination, -Methoden, -Personal und -Vertragswesen folgten »Projektorganisation (13%) und »PM-Software« (8%) (Huber-Jahn 1994). In einer früheren IPMI-Studie wurden 167 Unternehmen u.a. nach der Form ihrer Projektorganisation befragt. 45% nutzten und organisierten ihr Projektmanagement in Fachabteilungen, in der Linienstruktur oder per StabLinienorganisation. Insgesamt wurde mit zunehmender Nutzungszeit der Projektarbeitsweise zu eher flexiblen Organisationsformen (Matrixorganisation oder Reine Projektorganisation) übergegangen. Project-Pool-Organisation Zu den klassischen Organisationsformen kommen heute weitere ProjektOrganisationsformen (Tab.1) hinzu. Zu nennen sind die »Project Task Organisation«, das »Projekt-Service-Center« (auch »Projekt Office« oder – missverständlich – «Projekt-Büro« genannt) und immer häufiger auch »ProjektPool-Organisation« (Dworatschek u.a. 2002, S. 18 f.). Viele Unternehmen zeigen eine erschreckende »Immunschwäche«, wenn es darum geht, sich auf neue Situationen einzustellen, weil keine geeignete Organisationsstruktur vorhanden ist, um die erforderlichen Veränderungen durchzuführen. ... Daher ist es heute weit verbreitet, die notwendigen Veränderungen über eine – quer zur bestehenden Linienorganisation institutionalisierte, flexible – Projektorganisation anzugehen. Doch auch sie bringt häufig nicht die gewünschten Resultate (Lindemann 1999). Bei einer größeren Anzahl von Parallelprojekten können auch dabei Führungsprobleme auftreten, wie Verantwortungsüberschneidungen, Ressourcen(zu)teilung oder Zielkonflikte mit Linien. Der Diebold-Berater geht davon aus, dass etwa 70% der Projekte, die die Unternehmen in eigener Regie parallel zur Linienorganisation durchführen, nur Teilerfolge erzielen. Er fordert deshalb eine »Business Enforcement Organisation«, eine Art Projektportfolio-Management für zeitlich limitierte »Tasks« (strategische Projekte mit Einmalcharakter). Jedem Eingreifteam stehen taskspezifische interne und externe Ressourcen temporär zur Verfügung. »Zur Koordination, Überwachung und Steuerung dieser Tasks werden neueste Technologien wie Data-Warehousing, Skill-Datenbanken, multimediale Systeme, weltweite Datenbank-Abfragesysteme, Internet und Intranet eingesetzt.« Die »Projekt-Pool-Organisation« gestaltet ihren wesentlichen Organisationsbereich im Sinne der »Reinen Projektorganisation« (Tab.1) mit einer Vielzahl von Projekten; diesen Projekten wird mit eigenen personellen und finanziellen Ressourcen viel Autonomie gegeben. Neben diesem organisatoriFreundesgabe Büllesbach 2002 Projektorganisationen und IT-Dienstleistungen 59 schen Kernbereich »Projekte« verfügt die »Projekt-Pool-Organisation« noch über eine zweite konstitutive Komponente, nämlich den Pool-Bereich. In diesem hierarchiefreien Organisationsbereich halten sich Projektmanager, -leiter, -experten, -ingenieure, -controller, -assistenten und Fachexperten bis zu ihrem nächsten Projektauftrag temporär auf. Sie können die Zeit nutzten, um abgelaufene Projekte zu dokumentieren und auszuwerten (Lernkurve, organisationales Lernen), Nachwuchskräfte schulen und coachen (Personalentwicklung), sich selbst weiterbilden (Long-Life-Learning, ggf. mit E-Learning), neue Projekte akquirieren (Kunden-Networking), Projektangebote entwickeln (Machbarkeitsstudien) und Teams neu zusammensetzen (Teamkonfiguration) – fallweise mit Unterstützung von externen Beratern (Freelancer). Für den einzelnen Mitarbeiter einer Unternehmung bedeutet dies, dass er entweder in einer bestimmten Rolle in einem innovativen Projektteam mitarbeitet (Projektbereich) oder mit anderen Betriebsangehörigen an flexiblen projekteunterstützenden Basisarbeiten (Pool-Bereich) beschäftigt ist. Diese beiden Hauptbereiche der Organisation werden unterstützt durch Dienstleistungs-Stäbe, wie Projekt-Control, Personaladministration und ITService. Diese wenigen, personell »schlanken« Service-Bereiche bieten spezifisches Fachwissen; die ursprünglich prägenden Fachbereichs-Hierarchien wurden nach dem Prinzip »Lean Management« eliminiert. Beratungsfirmen, Softwarehäuser, aber auch marktorientierte Handelsunternehmen, FuE- und Wissensorganisationen können mit der Projekt-Pool-Organisation experimentieren, um innovativ, flexibel und mitarbeitermotivierend zu werden. Project Office und Virtuelle Projektorganisation Ein (wie auch immer benanntes) Projektbüro als Dienstleister wird in der Regel von mehreren Projekten oder sogar unternehmensweit genutzt und deckt möglichst folgende Aufgabenbereiche ab: Projektunterstützung (Administration und Pflege von Projekt-Handbüchern, IT-Plattform, Projektsoftware etc.); Schulung, Beratung, Coaching; Methoden und Standards (PMHandbuch etc.), Projektmanager-Pool (»ausleihbare«, ausgebildete und ggf. zertifizierte Projektprofis). Ein Projektbüro kann dabei in folgenden Organisationsstufen aufgebaut und eingeführt werden – vom einfachen Projektsekretariat über die Servicegruppe für projektmanagementorientierte Dienstleistungen für Projekte in den Fachbereichen bis zum Center of Competence/Center of Excellence für unternehmensweites Management by Projects (Bartsch-Beuerlein u. Klee 2001, S. 66 ff.). Virtuelle Projekte und Projektteams, virtuelle Projektbüros und Projektorganisationen sind aktuelle, wenngleich noch unscharfe Begriffe, die noch mehr von betriebspraktischen Experimenten als von wissenschaftlichen Analysen geprägt sind. Ein gewisser Konsens ist darin zu erkennen, wonach ein virtuelles Team mit Hilfe von modernsten (Tele-)Kommunikationsnetzen Raum-, Zeit- und Organisationsgrenzen überwinden versucht (BartschFreundesgabe Büllesbach 2002 60 Dworatschek Beuerlein u. Klee 2001, S. 7 ff.). Der Begriff »virtuelle Produktentwicklung« beispielsweise beschreibt die vollständige, digitale Entwicklung und Konstruktion von Produkten, einschließlich der Herstellungsprozesse dieser Produkte – arbeitsteilig lokal oder global verteilt. IT-Dienstleistungen IT-Dienstleistungen erfolgen in der Praxis in recht unterschiedlichen Formen: innerbetriebliches Project Office/ Projekt-Kompetenzzentrum, Schulung, Startup der Projekte, monatliches Review-Control-Treffen eines Projektteams, Cost-Control-Aufbereitung, Auswahl und Implementierung von PM-Software, Konzern-interne PM-Consulting, Outsourcing eigener PM-Kompetenz für externe PM-Beratung, IT-Beratungsfirma mit PM-Kompetenz, Outcourcing von der IT-Infrastruktur mit Zurück-Mieten der IT-Hardware oder PM-Beratungs-leistungen. Die IT-Infrastructure Library (ITIL) listet typische ServiceManagement-Funktionen für IT-Projekte auf (Bartsch-Beuerlein 2000, S. 46 f.). Die Organisationsmöglichkeiten, in denen ein Projektmanager seine Funktionen und Rolle finden muss, können in drei Szenarien (Bartsch-Beuerlein 2000, S. 13 –18, ) verdichtet werden, um u.a. die Qualitätssicherungen klären zu können. Bei der Organisationsform »Internes Projekt im Unternehmen« findet das Projekt einmalig oder in ähnlicher Ausprägung intern im Unternehmen und für das Unternehmen statt. Der Auftraggeber ist meist die eigene Geschäftsleitung, ein Fachbereich oder ein Portfolio-Lenkungsausschuss, projektführender Auftragnehmer ist in der Regel die interne IT-Abteilung. Beim Organisationsszenario »Projektorientiertes Unternehmen als Auftragnehmer« ist der Projekt-Auftragnehmer ein Unternehmen (große wie kleine Software-Beratung), das auf dem Markt hauptberuflich IT-Projekte für andere Unternehmen durchführt. Der Projektausschreibende und Auftraggeber ist ein externer Kunde. Die dritte Organisationsform »Generalunternehmen als Auftragnehmer« – seit langem bekannt aus dem Anlagenbau – tritt immer häufiger auch bei ITVorhaben auf, da Spezialwissen aktuell in erforderlicher Kapazität über Netzwerke einzuwerben und in das Projekt einzubringen ist. Diese vernetzten Kooperationsformen bis hin zu virtuellen Teams verursachen eine echte Herausforderung für das Qualitätsmanagement. Nach Befragungen verschiedener Beratungsfirmen (Computer Zeitung 29.4.2002) sei Return on Investment ROI zurzeit das Modewort der IT-Branche. Dabei stünden 76% der IT-Chefs unter einem stärkeren Rechtfertigungsdruck als früher, wenn sie heute neue Projekte starten wollen. Beispielsweise hatte die Hälfte der befragten Unternehmen sich vor dem EAI-Einführungsprojekt (Enterprise Application Integration) IT-Einsparungen von 11 bis 20% errechnet; doch nur ein Drittel hatte richtig kalkuliert. Bei IT-Anwendungen komplizierter Wertschöpfungsketten – etwa CRM-Projekte – sind aufwändigere Berechnungsmethoden für die Nutzeneffekte nötig. Freundesgabe Büllesbach 2002 Projektorganisationen und IT-Dienstleistungen 61 Wertschöpfungsnetze und Outsourcing Derzeit diskutieren viele Unternehmen und auch öffentliche Verwaltungen, wie sie ihre Wertschöpfungsprozesse optimieren können, u.a. durch Auslagern (Outsourcing) von Aufgaben und Funktionen. McKinsey untersuchte frühzeitig die Wertschöpfungsoptimierung und empfahl Projektmanagement als Planungsmethode. »Der Weg von ersten Makeor-buy-Überlegungen zu diesem Niveau der Wertschöpfungseffizienz kann mühsam sein. Am ehesten ist Risikominimierung dabei über eine vorurteilslose Komplexitätsanalyse und straffes Projektmanagement zu erreichen.« Die Projektorganisation ist »ein Kernteam aus Vertretern der betroffenen Bereiche, verantwortlich für Methodik und Qualitätssicherung, es zieht bei Bedarf Subteams für Analysen hinzu, ein Lenkungsausschuss steuert und überwacht den Projektfortschritt, und Linienführungskräfte wirken bei der Datenbeschaffung mit, als Diskussionspartner und spätere Realisierungsbeauftragte«. Einigen Branchen war damals schon die Auslagerung zu empfehlen. Jedoch galt: »Nur sehr bedingt anzuraten ist dagegen die viel gepriesene Auswärtsvergabe von EDV-Leistungen – zumindest in Branchen, in denen von der Informationstechnologie Impulse für Umwälzungen im Markt ausgehen« (Roever 1991). Heute stehen gerade die DV-Zentren bzw. interne IT-Dienstleistungen zur Disposition oder wurden bereits ausgelagert – z.B. in den Branchen Automobilfertigung und Banken. Outsourcing und Einkauf (ggf. Leasen) von externem Expertenwissen soll flexible Wertschöpfungsnetze für wechselnde Auftragsprojekte aufzubauen und zu betreiben helfen. Dazu müssen erhebliche Beratungskapazitäten auf dem Markt angeboten werden. Eine Managementstudie, an der sich 241 Führungskräfte aus unterschiedlichen Branchen beteiligten, zeigte, dass 56% der Beratungsprojekte als nicht brauchbar galten. Der ca. 24 Mrd. DM umfassende Beratungsmarkt in Deutschland im Jahr 2000 verteilte sich auf Managementberater (52 %), IT-Berater (43 %) und Personalberater (4,6 %). Die Befragung ergab als wichtigste Bereiche mit Beratungsbedarf (abnehmend): E-Business/E-Commerce, Wissensmanagement, Customer Relationship Management, Lean Management/Rationalisierung, Virtuelle Organisationen, Business Process Reengineering, Kernkompetenzen, Total Quality Management, Wachstumsstrategien und Shareholder-Value-Management (Financial Times Deutschland 15.11.2001, S. 37). PM-Nutzungstypen und IT-Dienstleistung Die oben genannte VW-/IPMI-Studie (Dworatschek et al 2002, S. 101–107) hat aus den qualitativen und quantitativen Befragungen heraus drei Typen (A,B,C) von PM-Nutzungsformen in der Praxis abgeleitet. Der Typ A »PM-Inseln« nutzt Projektmanagement situativ und auf Individuen basierend. Projektmanagement ist nur gering akzeptiert und wird vom TopFreundesgabe Büllesbach 2002 62 Dworatschek Management nur ansatzweise verstanden und unterstützt. Im Typ B »Effiziente Großprojektbearbeiter« wird Projektmanagement auf operativer Ebene für viele Vorhaben eingesetzt. Projektmanagement ist vom Top-Management verstanden worden, aber eine strenge Hierarchie erzeugt noch Konfliktpotenzial in der Organisation. Unternehmen vom Typ C »Agile Marktbeantworter« verwenden PM als Wettbewerbsvorteil zur Beherrschung erkannter Komplexität. PM ist auf nahezu allen Hierarchieebenen verstanden worden und wird auch gelebt. Speziell die Branche der IT-/Software-Dienstleistungen zeigt überwiegend die Charakteristik des Typs C. Projektmanagement erreicht bereits eine gute Akzeptanz im Top-Management und dies wird bereits bei unternehmensweiter Standardisierung eingesetzt. Viele junger Mitarbeiter befördern einen partizipativen Führungsstil. Jedoch hat sich noch keine überzeugende Projektmanagement-Kultur auf allen Hierarchieebenen gebildet. Auch müssten die Karrierechancen für Projektmanager durch Personalentwicklungssysteme (Zertifizierung, projektleistungsbezogene Beurteilung, Reentry-/Rückgliederungsregeln, Job-Rotation-Laufbahn, etc.) verbessert werden. Synergiefaktor PMIT Die Ausführungen beleuchteten die Wechselwirkungen von zwei einflussreichen Faktoren, wenn ein Unternehmen oder Verwaltung eine innovative, flexible Organisationsform auswählen, implementieren und gestalten will. Es sind die Faktoren »informationstechnologische Infrastrukturalternativen« einerseits und »Projektmanagement« als organisationskulturell prägendes Führungskonzept andererseits. Beide Faktoren, PM und IT, zeigen je selbst eine überaus schnelle Entwicklung. Gemeinsam genutzt eröffnet der Synergiefaktor »PMIT« eine innovative Dynamik in Unternehmen, öffentlichen Verwaltungen und wissenschaftlichen Einrichtungen. Literatur Bartsch-Beuerlein, Sandra.: Internet als Arbeitsplattform für virtuelle Projektteams. In: Griesche u.a. (2001.), S. 353 – 385. Bartsch-Beuerlein, S., Klee, O. (2001): Projektmanagement mit dem Internet – Konzepte und Lösungen für virtuelle Teams, München Wien 2001. Bartsch-Beuerlein, S. (2000): Qualitätsmanagement in IT-Projekten. Planung – Organisation – Umsetzung, München Wien 2000. Dworatschek, S. u.a. (2002): Stand und Trend des Projektmanagements in Deutschland. Eine Studie der Volkswagen Coaching GmbH Projekt Management in Kooperation mit IPMI, Universität Bremen und EMS Ltd., London. Wolfsburg 5/2002. Dworatschek, S., Büllesbach, A. u.a. (2000): Personal Computer & Datenschutz. Vernetzte PC, Risiken und Sicherheitskonzepte, 6., überarb. Aufl., Köln 2000. Freundesgabe Büllesbach 2002 Projektorganisationen und IT-Dienstleistungen 63 Dworatschek, S., Gutsch, R. W. (1988): Theses on Situation and Tendencies in Project Management. In: Proceedings of the 9th Internet World Congress, Glasgow 1988 (deutsch: GPM-Nachrichten Nr.15, 6/1988, S. 41– 47). Englund, R. L. (1997): Creating an environment for successful projects: taming the chaos. In: Voropajev, V. (ed.): Project Management: East-West at the Edge of the Millennium, Moscow, Russia, Proceedings Dec. 1– 4,1999, Vol.1/2, pp.91– 97. Ewert, Janßen, Kirschnick-Janssen, Papenheim-Tockhorn, Schwellach (1996) Handbuch Projektmanagement öffentliche Dienste – Grundlagen, Praxisbeispiele und Handlungsanleitungen für die Verwaltungsreform durch Projektarbeit. Bremen 1996. Griesche, D., Meyer, H., Dörrenberg, F. (Hrsg.) (2001): Innovative Managementaufgaben in der nationalen und internationalen Praxis. Anforderungen, Methoden, Lösungen, Transfer. (Festschrift für S. Dworatschek), Wiesbaden 2001. Griesche, D. (2001): Verwaltungsreform und Projektmanagement in Theorie und Praxis; Beispiel Landratsamt 2000. (Diss.), Bremen Boston 2001. Haberfellner, R., Daenzer, W. F. (Hrsg.) (1994): Systems Engineering: Methodik und Praxis, 8. Aufl., Zürich 1994. Huber-Jahn, I. (1993): Projektmanagement für kleine und mittlere Unternehmen im europäischen Binnenmarkt – Fallstudien, Situationsanalysen und Arbeitshilfen, Diss., Universität Bremen, 1993. Kieser, A., Kubicek, H. (1983): Organisation. 2. Aufl., Berlin New York 1983. Knöpfel, H., Gray, C., Dworatschek, S. (PM 1992): Projektorganisationsformen: Internationale Studie über ihre Verwendung und ihren Erfolg. In: PROJEKT MANAGEMENT 1/1992, S. 3 –14. Lindemann, V. (MAN 1999): Business Enforcement: Fundamentale Veränderungen beherrschen. In: MANAGEMENT 5/1999, S. 42– 43. Nehlsen, T., Gatzmaga, I. (2001): Prospektive Trends in der Disziplin Projektmanagement – eine Analyse zum Anpassungsbedarf. In: Griesche u.a. (2001) S.28 – 46. Pannenbäcker, O. (2001): Kanonisierung, Qualifizierung und Zertifizierung im Projektmanagement. Integration internationaler Ansätze zur Professionalisierung und Praxisbeispiele, Fft./M. 2001. RKW, GPM (Hrsg.) (1998): Projektmanagement Fachmann, 2 Bde., neu bearbeitet 4. Aufl., Eschborn 1998. Roever, M.: Ketten-Reaktion – Überkomplexität III. In: manager magazin 12/1991, S. 243 – 247. Freundesgabe Büllesbach 2002 64 Freundesgabe Büllesbach 2002 65 Thomas Dreier Informationsrecht in der Informationsgesellschaft 1. Einleitung Die Gesellschaft, in der wir leben, bezeichnet sich selbst als Informationsgesellschaft. Dennoch dürften von dieser neuen Form gesellschaftlicher Organisation bislang nur erste Auswirkungen sichtbar geworden sein. So ist auch unser Verständnis von Art und Umfang der Veränderungen, welche die Informationsgesellschaft mit sich bringt, gegenwärtig wohl noch recht vage. Gleichwohl sind wir angesichts der fortschreitenden Digitalisierung und globalen Vernetzung überzeugt, dass die Informationsgesellschaft unsere kollektiven wie unsere individuellen Beziehungen hinsichtlich des Wirtschaftens, des Zusammenlebens und der Art und Weise, wie wir uns in der Welt zurecht finden, einem tiefgreifenden Wandel unterziehen werden. Historiker, Soziologen und Kulturphilosophen sehen den gegenwärtigen Umbruch nicht lediglich als rein quantitative Fortentwicklung der Industriegesellschaft, sondern vergleichen ihn in seiner fundamentalen Dimension gar mit den beiden vergangenen großen Wenden der Menschheitsgeschichte: mit dem Übergang der Gesellschaft der Jäger und Sammler zur Gesellschaft seßhafter Ackerbauern zum einen und mit der Ablösung einer agrarisch geprägten Gesellschaft durch die Industriegesellschaft zum anderen. Wie ungeheuer der jeweilige Schock dieser beiden Umwälzungen gewesen sein muss, lässt sich im einen Fall an der Geschichte der Vertreibung aus dem Paradies ablesen, von der die Genesis ebenso berichtet wie zahlreiche andere Religionen und Mythen. Die industrielle Revolution findet sich zum anderen in der bürgerlichen Romanliteratur des 19. Jahrhunderts verarbeitet, hat in die Weltkriege des 20. Jahrhunderts geführt und ist auf globaler Ebene auch im 21. Jahrhundert noch längst nicht vollzogen. Jedenfalls lassen sich die jüngst eskalierten gewaltsamen Auseinandersetzungen zwischen fundamentalistischer Jenseitigkeit und technokratischer Diesseitigkeit als Fortdauer noch der zweiten Wende verstehen. Wenn es zutrifft, dass wir – ganz im Sinne menschheitsgeschichtlicher Beschleunigungen – kurz nach der noch nicht gänzlich verinnerlichten zweiten Wende bereits in eine dritte große Neuorientierung geraten, so sind wir gut beraten, den zu erwartenden Schock nach Kräften abzumildern. Denn ohne Abfederung entwickeln Technik und Markt eine weitgehend ungebremste Eigendynamik. Die Möglichkeiten kollektiven wie individuellen Handelns im globalen Raum werden durch die inhärenten Gesetze des »Turbo« kapitalismus ebenso bestimmt wie die Rahmenbedingungen unseres Handelns im digitalen und vernetzten Raum – Stichwort »Code as Law« – durch die Architektur von Hard- und von Software vorgegeben werden. Wollen wir uns den ökonomischen Gesetzmäßigkeiten nicht einfach unterwerfen und die uns von Technikern vorgegebenen Strukturen des digitalen Netzraumes nicht einFreundesgabe Büllesbach 2002 66 Dreier fach »gottgegeben« und »gottergeben» hinnehmen, so bedarf es eines steuernden Korrektivs. Eines Korrektivs, das sowohl ein Regelwerk für die Lösung informationeller Interessengegensätze und Konflikte bereit hält, als auch Kriterien definiert, welche den rechtspolitischen Korrekturen ungeregelter Entwicklungen als Orientierungspunkte dienen können. Mit anderen Worten: es geht um die Entwicklung von Normen in Bezug auf die Schaffung, Verbreitung und Nutzung von Informationen sowie um die Herausarbeitung konsensfähiger Kriterien, anhand derer sich der Regelungsgehalt solcher Normen ableiten lässt. Dabei erscheint es eher zweitrangig, ob derartige Normen dem Sozialleben entspringen oder aber in Form von Rechtsnormen daherkommen, die mittels staatlicher Macht durchsetzbar sind. Im Kern geht es um Informationspolitik und – was die rechtliche Seite anbelangt – um Informationsrecht. Die dem Informationsrecht damit zufallende Aufgabe ist keine geringe. Die nachfolgenden, dem Jubilar gewidmeten Ausführungen wollen dazu beitragen, herauszufinden, was das Informationsrecht als noch junge Disziplin des Rechts im genannten Zusammenhang zu leisten vermag. 2. Informationsrecht 2.1 Zum Begriff des Informationsrechts Weitgehend einig ist man sich zunächst darin, dass es sich bei der als »Informationsrecht« bezeichneten Rechtsmaterie weniger um ein eigenständiges Rechtsgebiet handelt als vielmehr um eine Querschnittsmaterie, die von ihrer Fragestellung her Normen aus allen traditionellen Rechtsgebieten erfasst. Neben Fragen des Verfassungsrechts (vor allem Art. 5 GG) geht es um öffentlich-rechtliche Vorschriften (z.B. des Datenschutzes) ebenso wie um zivilrechtliche Normen (z. B. die neuen §§ § 312 e f. BGB i.V.m. § 3 der Verordnung über Informationspflichten nach Bürgerlichem Recht) und um strafrechtliche Vorschriften (z. B. das Ausspähen von Daten, § 202a StGB, oder der Computerbetrug, § 263a StGB). Die Frage nach dem heutigen Nutzen der Einteilung des Normenbestandes in einzelne Rechtsgebiete ist damit freilich ebensowenig beantwortet wie die Frage, inwieweit diese Art der Einteilung eine Strukturbildung über die Grenzen der jeweiligen Rechtsgebiete hinaus präjudiziert. Das kann hier nicht weiter vertieft werden. Wichtiger erscheint nämlich einstweilen, dass sich in Bezug auf den Begriff »Informationsrecht« gegenwärtig noch immer kein einheitlicher Sprachgebrauch feststellen lässt. Zumindest in Randbereichen fällt daher der Umfang der Rechtsmaterien, die dem Informationsrecht zugeordnet werden, unterschiedlich aus, je nach dem Verständnis dessen, was das Informationsrecht in seinem Kern charakterisiert. Oder umgekehrt, es wird der Begriff des Informationsrechts unterschiedlich gefasst, je nachdem, welcher Normenbestand ihm im Einzelnen zugeordnet wird. So lässt sich der Begriff des Informationsrechts historisch mit dem Problem gesellschaftlicher Informationskontrolle in Verbindung bringen, welFreundesgabe Büllesbach 2002 Informationsrecht in der Informationsgesellschaft 67 che durch die seinerzeit noch ADV genannte Datenverarbeitung ermöglicht wurde (das »A« stand für »automatisiert«, ehe es durch das »E« der Elektronik ersetzt wurde, das künftig seinerseits einem »B« für biomolekulare Datenverarbeitung, BDV, weichen könnte). Von daher hat sich bis heute ein weit verbreitetes Verständnis des Informationsrechts erhalten, das den Technikbezug der Informationsverarbeitung als Kriterium für die Zuordnung von Normen zum Informationsrecht gewählt hat. In einer Gesellschaft, die ganz wesentlich von Informationen geprägt ist, geht es jedoch um mehr als um die Verarbeitung und Übermittlung von Informationen mit technischen Mitteln. Das lässt sich auch an der Entwicklung des Informationsrechts von seiner ursprünglichen Fixierung auf den Schutz im Umgang mit personenbezogenen Daten hin zu einer umfassenderen Einbeziehung von Informationsbeziehungen mit dem Fernziel eines Datenrechts ablesen, das dem Umfang und der Kontrolle von Datenmacht verschrieben sein soll. Zumindest wird man den Schwerpunkt der Zuordnung einzelner Normen zum Informationsrecht nicht mehr länger in der – inzwischen ohnehin allgegenwärtigen digitalen – Technik sehen, sondern vielmehr die Ordnung von Informationsbeziehungen und deren Gerechtigkeitsgehalt in den Mittelpunkt der Betrachtung stellen müssen. Kein einheitliches Verständnis besteht zum anderen hinsichtlich des Verhältnisses vom Informationsrecht zur Rechtsinformatik. Ein enger Begriff der Rechtsinformatik erfasst zunächst nur den Einsatz digitaler Datenverarbeitung im Rahmen der Rechtsanwendung und Rechtsfindung. Hierher gehören die ersten Versuche einer Strukturierung juristischer Subsumtions- und Entscheidungsfindungsprozesse mit dem Ziel der Konstruktion eines »Richterautomaten«, denen angesichts der in den 70er Jahren noch vergleichsweise begrenzten Rechenleistung und Speicherkapazitäten allgemein zugänglicher Computer seinerzeit freilich kaum Erfolg beschieden sein konnte. So herrscht heute ein Verständnis der Rechtsinformatik vor, das ihr über den Einsatz der informationsverarbeitenden Technik im Recht hinaus auch die Untersuchung derjenigen Rechtsfragen zuordnet, welche durch den Einsatz dieser Technik aufgeworfen werden, so dass Informationsrecht als Teilbereich einer derart umfassend umschriebenen Rechtsinformatik erscheint. Aber auch so verstanden wäre Informationsrecht wiederum stark an die Technik der Informationsverarbeitung gebunden. Schon die Tatsache, dass die rechtlichen Fragestellungen, welche die Rechtsinformatik aufgegriffen hat, parallel zur technischen Entwicklung bzw. zu deren jeweiliger gesellschaftlichen Implementierung zunächst unter Computerrecht, dann unter Multimediarecht und schließlich unter der Bezeichnung Internetrecht firmierten, legt nahe, dass es der Rechtsinformatik insoweit gerade nicht um ein umfassendes Informationsrecht geht. Über den Technikbezug hinausgehende, generelle Fragen nach der Zuordnung von und der Herrschaft über Informationen (z.B. im genetischen Bereich) lassen sich ebensowenig in der Rechtsinformatik unterbringen wie schon zahlreiche traditionelle Fragestellungen des Informierens (z. B. in Form zivilrechtlicher Auskunftsansprüche) und – gegenläufig – des Freundesgabe Büllesbach 2002 68 Dreier Geheimnisschutzes (z. B. nach § 17 UWG). Vollends weist das Fern-ziel einer allgemeinen Theorie der Informationsbeziehungen und der Informationsgerechtigkeit über die Rechtsinformatik weit hinaus. Nach dem Verständnis, das den nachfolgenden Ausführungen zugrunde liegt, ist das Informationsrecht mit der Rechtsinformatik daher nur zum Teil deckungsgleich, und zwar nur insoweit, als es um Rechtsfragen geht, die durch den Einsatz der informationsverarbeitenden Technik in der Gesellschaft aufgeworfen werden. Der Einsatz informationsverarbeitender Technik erscheint jedoch wiederum allenfalls als das Mittel, nicht jedoch als Kern informationsrechtlicher Fragestellungen. 2.2 Zum Informationsbegriff Als wissenschaftliche Disziplin besteht das Informationsrecht aus einem Objekt der Erforschung und einer Methode, mittels derer der Untersuchungsgegenstand erforscht wird. Methode ist die rechtswissenschaftliche (auch darüber besteht freilich weiterer Klärungsbedarf) und Objekt ist »Information«. Dieser Begriff der »Information« als zentraler Gegenstand des Informationsrechts weist jedoch nicht unerhebliche Unschärfen auf. Daß eine weitverbreitete Selbstdefinition des Faches den Informationsbegriff zunächst – wie soeben dargelegt – einengend auf die Informationsverarbeitung und deren Folgen mittels elektronischer Mittel beschränkt, trägt dem zugrunde liegenden Kommunikationsakt ebenso wenig Rechnung wie insbesondere dem Inhalt von Informationen. Es geht um mehr als nur um Datenübermittlung und Datenverarbeitung; es geht auch um Informiertsein, um Interpretation von Daten, um Semantisches also, um Wissen und um den Wert von Informationen für den Menschen ebenso wie – negativ gekehrt – von Informationsvorenthaltung. Doch gleichviel, ob man einem technikbezogenen Begriff des Informationsrechts anhängt oder aber der hier vorgeschlagenen weiteren Definition zu folgen bereit ist: die Kernfrage lautet immer: was genau ist »Information«? Wie lässt sich »Information« allgemeingültig definieren? Lässt sich »Information« überhaupt allgemeingültig umschreiben? Der Blick auf vergangene Definitionsversuche erweist sich zunächst als wenig aufschlussreich. Denn es finden sich ebensoviele Umschreibungen, wie das Phänomen der Information an Facetten aufweist. Nach der berühmten Definition von Wiener ist Information »Information, nicht Materie und nicht Energie«. Mit dem Shannon’schen Entropiebegriff kann Information rein syntaktisch und quantitativ erfasst werden. Auch der nachrichtentechnische Informationsbegriff ist in ähnlicher Weise formal geprägt, signalnah und inhaltsfern. Dennoch lässt sich Information einfügen in die erweiterte Begriffsreihe »Zeichen«, »Datum«, »Information«, »Wissen«. Damit wird auf inhaltliche, semantische und nicht zuletzt auch auf Werteigenschaften abgestellt. Entscheidender Bezugspunkt ist dann der Empfänger, sinnvollerweise – jedoch wohl nicht notwendig – ein menschlicher Empfänger, der die empfanFreundesgabe Büllesbach 2002 Informationsrecht in der Informationsgesellschaft 69 genen Signale wahrnimmt, interpretiert, verwendet und in seinen Wissensvorrat integriert. Dabei lassen sich eine symbolische, eine syntaktische, eine semantische Ebene sowie eine pragmatische Ebene des Handelns und der Wirkung ausmachen. Das Bedürfnis, einen für die jeweils eigenen Zwecke brauchbaren Informationsbegriff zur Hand zu haben, hat in den einzelnen Wissenschaftszweigen längst zu einer Auffächerung des Informationsbegriffs geführt. Bereits auf der Metaebene herrscht keine Einigkeit hinsichtlich der Frage, ob es – unabhängig davon, wie Information als solche zu definieren sei – einen einheitlichen Informationsbegriff oder ob es deren mehrere gibt (sog. reduktionistische, antisynonymische Informationsbegriffe), oder ob der Begriff dialektisch bei aller unterschiedlichen Ausformung zugleich auch einheitliche Strukturmerkmale aufweisen kann. Inhaltlich finden sich – nach einem bekannteren Versuch der Einteilung – das Verständnis von Information als Elementar-Element aus der Sichtweise der Systemtheorie neben Materie und Energie; von Information als Wirtschaftsgut aufgrund ihrer speziellen Eigenschaften wie Übertragbarkeit, relativer Knappheit und ökonomischer Eignung; von Information als Wettbewerbsfaktor insbesondere für die Industrienationen, bei denen personelle Ressourcen und eigenes Know-how ständig teurer werdenden Rohstoffen gegenüberstehen; von Information als Produktionsfaktor gleichberechtigt neben den anderen betriebswirtschaftlichen und volkswirtschaftlichen Produktionsfaktoren (Patente, Beurteilung von Marktchancen etc.); von Information als Grundlage physischer, nicht physischer und nomineller Vorgänge; Information als Objekt von wissenschaftssowie erkenntnistheoretischen Analysen und schließlich von Information als »Licht« im Sinne von Zugang zu »objektivem« Wissen, das sich in Erziehung, Kommunikation u.ä. ausdrücken kann. Eine derartige Begriffsvielfalt mag auf den ersten Blick unbefriedigend erscheinen, »unschön«, weil begrifflich nicht einheitlich. Aber muss die Definition dessen, was unter Information zu verstehen sei, eigentlich einheitlich und, weil einheitlich, auch schön sein? Lässt sich nicht damit leben, dass ein und dasselbe Phänomen aus der Blickrichtung unterschiedlicher Fragestellungen unterschiedlich umschrieben wird? Eine solche Sichtweise würde die Vermutung erhärten, dass es einen einheitlichen Informationsbegriff vermutlich gar nicht geben kann und sie würde auch eher dem gegenwärtigen, stark von den Sprachtheorien beeinflussten wissenschafttheoretischen Wahrheitsverständnis entsprechen. Letzteres geht nicht mehr von der eindeutigen Abbildung des Phänomens in einem Begriff aus, sondern versteht – in seiner radikalsten Form – sogar das bezeichnete Objekt selbst nebst seinen Eigenschaften nurmehr als Resultat sprachlicher Verständigung. Damit erscheint es nicht per se unwissenschaftlich, sich auf die Ebene des sprachlichen Umgangs mit Informationen zu konzentrieren. Vor allem die Umgangssprache ist hier reich an Umschreibungen. So schwingt in der »Information« zunächst das Informiertsein mit. Wer informiert ist, der »besitzt« Informationen. Von da ist es nur ein kurzer Weg zum Gegensatz von »Information-Haves« und »Information-Have-Nots«. Das bezeichnet nichts Freundesgabe Büllesbach 2002 70 Dreier anderes als die digitale Version des früheren Nord-Süd-Gefälles. Erscheint Information als Gut, so gilt: wer informiert ist, der hat etwas. Kombiniert mit dem ebenfalls sprichwörtlichen »Du bist, was Du hast« führt das zu der moderneren Version des materialistischen Grundcredos »Ich habe, also bin ich« in Form des »Ich bin informiert, also bin ich«. Nun mag man einwenden, es handele sich hierbei lediglich um typische Ungenauigkeiten der Umgangssprache, um narrative Ausschmückung weniger denn präzise Begriffsbildung. Doch ist das nur bedingt richtig; denn indem sie dasjenige, auf das sie angewandt werden, an Bekanntes rückbinden, bringen solche Metaphern über den Vergleich weitere, zuvor verborgene Bedeutungsebenen ins Spiel. Das kann natürlich in die Irre führen, hilft in der Umgangssprache immerhin jedoch, durch den Bezug zum Bekannten ein Gefühl der Überschaubarkeit, der Ordnung und damit letztlich des Aufgehobenseins in der Welt zu wahren. Aber auch zum Zwecke einer rechtswissenschaftlichen Definition des Begriffs der Information lässt sich vor diesem Hintergrund mit dem sprachlichen Mittel der Metaphern operieren. Auf dieser Grundlage können nämlich grundsätzliche »Eigenschaften« – oder vielleicht genauer: Betrachtungsweisen – von Information unterschieden werden: Information kann erstens vom Ausgangspunkt aus gesehen, oder zweitens vom Empfänger her betrachtet werden oder es kann drittens der Übermittlungsvorgang in den Blick genommen werden. Information lässt sich dann begreifen als Gut, als Vorgang und als Zustand. Mit anderen Worten: Information erscheint dann zum einen als etwas Wertvolles, Dinghaftes, Handelbares; zum anderen als Akt der Kommunikation sowie als Weg des kommunizierten Inhalts, und schließlich als Informiertsein, als Besitz von Information, wobei sich wiederum der Kreis zur ersten Betrachtungsweise – Information als Gut – schließt. Von ihrer Wirkung her lässt sich Information dann etwas formalisierter beschreiben als eine durch Signale ausgelöste wahrnehmungsmäßige Differenz zu dem, was dem empfangenden System bereits bekannt ist, und die beim empfangenden System zu einer Änderung von dessen Strukturen führt (bzw. die bei einem potentiell empfangenden System zur Veränderung von dessen Strukturen führen würde). Dabei zählt auch die Verringerung – und wohl auch die Vergrößerung – von Unsicherheit im empfangenden System zu den Änderungen der Struktur von dessen vorherigem Zustand. Information ist danach also gekennzeichnet durch ein Element der Differenz und durch ein Element der Reaktion auf diese Differenz. Wird Information gespeichert, so kann dies entweder eine zeitliche Verzögerung des Empfangsvorgangs sein, die zusätzlich zur räumlichen Distanz des Übermittlungsvorganges tritt, oder aber die Ablage der vom empfangenden System bereits verarbeiteten Information zum Zwecke der des späteren, erneuten Aufrufs. Bei allen verbleibenden Unschärfen, die jeder bildhaften sprachlichen Definition innewohnen, lässt sich Information damit zum einen vom Datum als der Einheit potentiell informationstragender Zeichen abgrenzen. Zum anderen erscheint auch die Abgrenzung der Information vom Wissen möglich. Wissen wäre danach der Strukturzustand des Freundesgabe Büllesbach 2002 Informationsrecht in der Informationsgesellschaft 71 Empfängers oder die im Strukturzustand repräsentierte Information, wobei die zuvor empfangene Information zu einer permanenten Zustandsveränderung geführt haben kann, oder sie als solche abgelegt und nur der Zugriffspfad für den erneuten Aufruf im Wissensbereich gespeichert worden ist. Wissen wäre danach jedenfalls von der Information recht deutlich unterscheidbar. Freilich sind damit noch nicht alle Fragen beantwortet. So muß man etwa davon ausgehen, daß es unerheblich ist, ob eine Information tatsächlich empfangen wird; denn andernfalls bliebe der Geheimnisschutz ausgeklammert und es wäre der Bereich des Informationsrecht erheblich verkürzt. Reicht es für die Annahme einer Information jedoch aus, daß der Sinngehalt vom Empfänger potentiell wahrgenommen werden kann, so stellt sich die Frage, ob die Information dann nicht zumindest in den Machtbereich des potentiellen Empfängers geraten muß, oder ob es genügt, daß der Empfänger sie hätte wahrnehmen können. Wenn - um es an einem Beispiel zu verdeutlichen - ein Lichtsignal den Überdruck an einem Dampfkessel anzeigt, ist das leuchtende Signal sicherlich eine Information, auch wenn der Nachtwächter eingeschlafen ist. Wie aber, wenn der Nachtwächter gar nicht da ist? Nimmt man auch dann eine Information an, so wäre Information Information per se und mithin omnipräsent. Dann wäre alles, was irgendwann von irgendwem als Information aufgefaßt werden könnte schon seit urdenklichen Zeiten Information. Ein derart weiter Begriff ist zur Abgrenzung jedoch kaum geeignet. Wenn alles Information ist, so bedarf es der weiteren begrifflichen Unterteilung, von welcher Art Information wir für die Zwecke der jeweiligen Kommunikation sprechen wollen. Denn von den wenigen Begriffen, die Umfassendes bezeichnen sollen einmal abgesehen – das Unendliche; das All; oder in Kombination: Sein und Nichtsein – dienen Begriffe nun einmal der Unterteilung, der Ein- und der Ausgrenzung: de finis, definieren. 3. Aufgaben des Informationsrechts Doch zurück zum Informationsrecht und seinen Aufgaben in der Informationsgesellschaft. Ausgehend von der Umschreibung von Information als werthafte Differenz (Gutsqualität), die übermittelt (Kommunikationsaspekt) und beim Empfänger gespeichert wird (wissensnahe Qualität) und eingedenk der Funktion von Recht als Steuerungsinstrument, das Auffassungen von Gerechtigkeit verwirklichen helfen soll, wäre dann zugleich die folgende Arbeitsdefinition des Informationsrechts und seiner Aufgaben gewonnen: es wäre unter Informationsrecht derjenige Teil des Rechts zu verstehen, der sich ganz allgemein mit der Steuerung der Erzeugung, Weitergabe und Verarbeitung von Informationen befasst, also mit Informationsgewinnung, Informationsfluss und Informationsspeicherung. Das sei an dieser Stelle noch kurz erläutert. Freundesgabe Büllesbach 2002 72 Dreier 3.1 Zur Gutsqualität Bei der Gutsqualität von Information ist der Ausgangspunkt die Knappheit informationeller Ressourcen. Bereitstellung, Vertrieb und Nutzung von Informationen erfordern Kosten. Als immaterielle Güter sind Informationen öffentliche Güter, Güter also, die sich niemand exklusiv aneignen kann. Denn anders als materielle Güter sind immaterielle Güter ubiquitär, d.h. sie sind an mehreren Orten gleichzeitig vorhanden und sie ermöglichen eine nicht rivalisierende Nutzung. Ein Nutzer schließt den anderen von einer zeitgleichen Nutzung nicht aus. In öffentliche Güter wird jedoch nur suboptimal investiert, solange keine entsprechenden äußeren Anreize gesetzt werden. Der Anreiz, dessen sich unsere Rechtsordnung hier bedient, sind die dem Eigentumsrecht an körperlichen Sachen nicht unähnlichen ausschließlichen Nutzungsrechte an immateriellen Gütern. Auf deren Basis kann der Rechteinhaber mit einem immateriellen Gut nach Belieben verfahren und Dritte von der Einwirkung auf dasselbe ausschließen. Damit sind wir beim klassischen Immaterialgüterrecht, dem Patent- und dem Markenrecht wie auch dem Urheberrecht. Diese Rechte sind bislang als zusammengehörig begriffen und gegen andere Rechtmaterien abgegrenzt gesehen worden. Aus der hier vorgestellten Perspektive lassen sie sich dagegen problemlos in das Informationsrecht einordnen. Für das Informationsrecht stellt sich mithin die Aufgabe festzulegen, inwieweit Informationen als solche monopolisiert werden können und sollen, um ein Optimum an bereitgestellter, verbreiteter und genutzter Information zu erhalten, oder umgekehrt, wie viel und welche Information frei – also frei und ggf. kostenfrei zugänglich – bleiben muss, um ein optimales Klima für den Informationsfluss und die Produktion neuer Informationen zu erzielen. Anders gekehrt: Wie lassen sich diejenigen Informationen in einem engeren Sinn, die monopolisiert werden können, von denjenigen Informationen in einem weiteren Sinn abgrenzen, die frei bleiben sollen? 3.2 Zum Informationsfluß Besonders ergiebig scheint die bildhafte Umschreibung von Information als dem Gegenstand des Informationsrechts in Bezug auf den Informationsfluss zu sein. Die Metapher des Informationskanals erhellt nämlich umgehend, dass der Informationskanal entweder geschlossen oder aber geöffnet sein kann. Darüber hinaus kann der Informationsfluss eine unterschiedliche Richtung haben, vom Sender zum Empfänger oder vom Empfänger zum Sender. Damit ergeben sich zunächst vier mögliche Zustände von Informationskanälen: – es kann der Kanal zum Aussenden von Informationen geöffnet werden; – es kann der Kanal zum Aussenden von Informationen verschlossen werden; – es kann der Kanal zum Empfang von Informationen geöffnet werden; – es kann der Kanal zum Empfang von Informationen verschlossen werden. Freundesgabe Büllesbach 2002 Informationsrecht in der Informationsgesellschaft 73 Als Beispiele für diese vier Kategorien seien beispielhaft nur genannt: – für den zur Aussendung geöffneten Kanal die Meinungsfreiheit, das Werberecht, aber auch die Religionsfreiheit; – für den zur Aussendung geschlossenen Kanal das Datenschutzrecht und der Geheimnisschutz (mag es sich nun um Betriebs- und Geschäftsgeheimnisse handeln, um Berufs- und Amtsgeheimnisse oder um die Geheimhaltung durch staatliche Behörden) sowie ganz allgemein das vom Bundesverfassungsgericht anlässlich der letzten Volkszählung konturierte Recht der informationellen Selbstbestimmung; – Beispiel für einen zum Empfang geöffneten Kanal wäre im weiteren die Informationsfreiheit oder die in Bezug auf patent-, marken- und urheberrechtlich geschützte Gegenstände zulässige zustimmungsfreie Benutzung; – als Beispiel schließlich für einen zum Empfang geschlossenen Kanal seien die immaterialgüterrechtlichen Schutzrechte genannt, die den Zugriff auf fremde Schutzgegenstände unterbinden und damit den Informationskanal in Richtung auf den Empfänger verschließen. Auch der Rechtsschutz gegen die unzulässige Zusendung von E-Mails (sog. »Spamming«) gehört hierher, sei er im Wege des sog. Opt-out (Zulässigkeit, solange der Adressat den Empfang nicht explizit verweigert) oder im Wege des sog. Opt-in gewährt (Zulässigkeit nur dann, wenn der Adressat den Empfang zuvor ausdrücklich erlaubt hat). Im weiteren lässt sich danach differenzieren, ob die Information, die von einem der Beteiligten ausgeht bzw. empfangen wird, aktiv abgegriffen wird oder ob sie passiv zugespielt wird. Mit anderen Worten: ob es sich – neuhochdeutsch – um einen »Push«- oder um einen »Pull«-Vorgang handelt. So haben wir etwa das Datenschutzrecht (als das Recht, dem Abgriff der eigenen Daten entgegenzutreten) zum einen, und die Vielzahl einzeln normierter Auskunftsansprüche (als Rechte, auf fremde Informationen zugreifen zu dürfen) zum anderen. Damit ist noch immer nicht entschieden, ob derjenige, dem ein Anspruch auf Information aus der Sphäre eines Dritten zusteht, die betreffenden Informationen selbst holen darf, oder ob der Dritte lediglich verpflichtet ist, sie dem Informationsgläubiger zu übermitteln. Zugleich gibt es eine ganze Reihe von Symmetrien und Entsprechungen. So entspricht etwa einem Leistungsinteresse des Informationsbegehrenden in vielen, wenn nicht gar den meisten Fällen ein entgegengesetztes Abwehrinteresse auf Seiten desjenigen, der die Information inne hat. In solchen Situationen genießen nach gegenwärtigem Recht mitunter sogar beide Interessen gesetzlichen Schutz, wo dem Recht der aktiven freien Informationsaussendung des Werbenden das Persönlichkeitsrecht desjenigen gegenüber steht, der sich in seiner Privatheit gestört fühlt und der daher einen Anspruch auf Schließung des Empfangskanals hat. Damit ist jedenfalls eine erste, recht taugliche Klassifizierung der einzelnen Informations- und Informationsabwehransprüche gefunden, die über viele Rechtsgebiete verstreut sind. Nicht zuletzt fällt dem Informationsrecht die Aufgabe zu, Regelungen darüber zu treffen, wem Informationskanäle und Schleusen gehören sollen (Stichwort Freundesgabe Büllesbach 2002 74 Dreier Netzträgerschaft), sowie wer über den Zustand der Schleuse entscheiden darf: der Sender oder der Empfänger, oder aber beide. Dazu zählt auch, ob der Staat ggf. sogar gegen den Willen von Sender und Empfänger – wie im Fall inhaltsorientierter Verbote wie demjenigen der Auschwitzlüge oder der Kinderpornografie – regelnd eingreifen soll, oder ob den Betroffenen zugetraut werden kann, sich im gemeinsam ausgehandelten Einverständnis, also der Selbstregulierung, auf eine ausgewogene Vorgehensweise zu verständigen. In den Blick kommt mit der Metapher des Informationskanals weiterhin die Funktion der Technik. Zwar kann die Fahrtrichtung auf Verkehrswegen durch rechtliche Gebote und Verbote geregelt werden (im analogen Bereich z. B. das Rechtsfahrgebot oder die Einbahnstraßenregelung), effizienter wirken jedoch entsprechende technische Schutzmechanismen (im analogen Bereich z. B. Schranken und Leitplanken). Allerdings sind technische Schutzvorrichtungen zugleich meist auch unflexibler (wo eine Schranke den Weg versperrt, da gibt es auch im Notfall kein Durchkommen). Damit ist die Absicherung der informationsrechtlichen Ge- und Verbote durch technische Sicherungsmaßnahmen als Aufgabe des Informationsrechts umrissen. Die Technik gestaltet die Rechtsdurchsetzung effektiver, muß zugleich jedoch für die Verwirklichung rechtlicher Vorgaben offen gehalten werden. Das ist nicht immer einfach. Wo es etwa ohne Technik an einer hinreichenden Rechtsdurchsetzung fehlt, da macht eine rechtliche Regelung, die in ihrer Differenziertheit weit feiner unterscheidet als die Technik dies abzubilden vermag, keinen Sinn. In diesem Spannungsfeld ist der Gegensatz von Kryptographie und staatlicher Zugriffsmöglichkeit angesiedelt wie auch die Frage, inwieweit technische Zugangsund Kopiersperren das Urheberrecht an digitalen Inhalten absichern können und sollen. Letztlich besteht eine Wechselwirkung: technische Schutzmechanismen rufen ein neues Regelungsbedürfnis hervor, um die durch die Technik eröffneten Möglichkeiten auf ein sozialverträgliches Maß zu reduzieren; umgekehrt hilft das Technikrecht in Form des Informationsrechts mit, dass die Möglichkeiten der Technik überhaupt erst ihr volles Potential entfalten können. 3.3 Zur Speicherung Informationen werden schließlich gespeichert, als Grundlage ihrer weiteren Verwendung, sei es innerhalb des empfangenden Systems, sei es mit dem Ziel, Informationen vorrätig zu halten und den in ihnen enthaltenen Informationswert, den Informationen für Dritte besitzen, über die Zeit zu konservieren. Dabei werden Informationen akkumuliert und können – ganz wie körperliche Waren sozusagen »en gros« – in Form von Datenbanken oder über Portale gehandelt und auch genutzt werden; genutzt zum Erkenntnisgewinn und zur Produktion neuer Ideen. Die Kernfrage des Informationsrechts lautet nun: welcher rechtlichen Regelungen bedarf es, um die erforderliche Speicherung zu gewährleisten Freundesgabe Büllesbach 2002 Informationsrecht in der Informationsgesellschaft 75 und sinnvoll zu organisieren? Dabei geht es um den richtigen Zuschnitt des rechtlichen Schutzes für Datenbanken ebenso wie um die Frage der rechtlichen Organisation der Archivierung. Wie stellen wir sicher, dass der rechtliche Investitionsschutz hinreichende Anreize für die Erstellung und Pflege kostenintensiver Datenbanken setzt, ohne zugleich zu einer allzu großen Mono-polisierungsmöglichkeit der in einer Datenbank enthaltenen Informationen zu führen? Gelingt es nicht, eine ausgewogene Balance herzustellen, so besteht die Gefahr der Unterinvestition oder aber die der Verhinderung nützlicher informationeller Mehrwertdienstleistungen. Wie stellen wir sicher, dass unsere abgespeicherten Daten auch in hundert Jahren noch lesbar sind? Es besteht durchaus die Gefahr, dass unsere Zeit trotz unseres Stolzes auf die digitalen Errungenschaften als das dunkle, dokument- und spurenlose Jahrhundert in die Geschichte eingeht. Schon jetzt ist vieles unwiederbringlich verloren, wenn etwa die »Brief«wechsel, die früher der Nachwelt erhalten blieben, in regelmäßigen Abständen und meist vollautomatisch vom E-Mail-Server ge-löscht werden. Ganz generell bedarf es der Schaffung von Rahmenbedingun-gen für eine fortwährende Datensicherung, die gewährleistet, dass konvertierte Datensätze auch von künftigen Betriebssystemen noch gelesen werden können. Das berührt zugleich die Finanzierung und führt zu der Frage, wie die künftig Aufgabenteilung zwischen öffentlichen Bibliotheken und Archiven auf der einen, und digitalen Archiven der privaten Medienunternehmen auf der anderen Seite zu gestalten ist. Nach gegenwärtigem Verständnis gilt es, eine Belastung der Allgemeinheit allein mit den unprofitablen Aufgaben ebenso zu vermeiden wie umgekehrt einen subventionierten Wettbewerb der öffentlichen Hand. 4. Abschließende Bemerkungen Die vorstehenden Ausführungen können die vielfältigen Aufgaben des Informationsrechts in der Informationsgesellschaft freilich nur schlaglichthaft beleuchten. Immerhin sollte deutlich geworden sein, mit welcher Breite von Fragestellungen das Informationsrecht konfrontiert ist. Dem rechtssystematischen Vorwurf, es handle sich beim Informationsrecht um eine höchst amorphe Querschnittsmaterie, lässt sich entgegenhalten, dass Konvergenz, Vernetzung und Komplexität der Informationsgesellschaft mehr als vielleicht je zuvor rechtsgebietsübergreifende Begrifflichkeiten und Lösungen erfordern. Dabei stellen sich vor allem zwei Probleme. Zum einen ist das Programm des Informationsrechts enorm; von einzelnen Rechtswissenschaftlern wird es nicht abgearbeitet werden können. Ohnehin erfordert die Vernetzung mit Fragestellungen der Informatik und der Wirtschaftswissenschaften ein weitgehend interdisziplinäres Zusammenwirken. Zum anderen läßt sich anders als hinsichtlich der Verteilgerechtigkeit in Bezug auf körperliche Sachen für eine Informationsgerechtigkeit nicht auf eine bereits seit dem römischen Recht eingeübte Gerechtigkeitstradition zurückgreifen. Das Freundesgabe Büllesbach 2002 76 Dreier erschwert die Anwendung allgemeiner Rechtssätze auf konkrete Sachverhalte ebenso wie die Schaffung neuer Rechtsregeln. Daher ist es nicht leicht, das Informationsrecht vom Einfluss der im konkreten Streit befangenen Interessen frei zu halten; Informationsrecht ist insoweit in besonderem Maße anfällig für die Festschreibung gegenwärtiger Machtverhältnisse. Um so größer ist das Bedürfnis nach der Herausarbeitung konsensfähiger Gerechtigkeitsvorstellungen, nach der Schaffung einer informationellen Grundordnung. Denn ohne eine solche Verfassung des Informationsrechts wird man den technischen und wirtschaftlichen Risiken der Informationsgesellschaft nicht hinreichend entgegensteuern können; zumindest wird sich die Informationsgesellschaft nur in unvollkommener und unbefriedigender Form entwickeln. Die Aufgabe des Informationsrechts besteht also darin, die einzelnen Regelungsmaterien anhand vereinheitlichter Strukturprinzien zu einem Ganzen zusammenzuführen, mit dem Ziel einer ausgearbeiteten Informations- oder gar Wissensordnung. Einstweilen treten die Konturen des Informationsrechts ebenso wenig – oder ebenso viel – hervor, wie die Konturen der Informationsgesellschaft selbst. Der weitere Weg jedoch ist vorgezeichnet. Freundesgabe Büllesbach 2002 77 Herbert Kubicek Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes IT-Management 1. Einführung Es soll Konzerne geben, in denen die einzelnen Unternehmen nicht nur eigene IT-Anwendungen, sondern auch ihre eigene IT-Infrastruktur ohne Abstimmung mit Schwester- und Bruderunternehmen entwickeln und aufgrund von Inkompatibilitäten teilweise nicht konzernweit medienbruchfrei elektronisch kommunizieren können. Auf jeden Fall stellt man nach Fusionen regelmäßig fest, wie schwierig es ist, die unterschiedlichen IT-Landschaften der zuvor getrennten Unternehmen zu integrieren, damit die von der Fusion erwarteten Synergieeffekte auch tatsächlich realisiert werden können. Wer für Datenschutz und Datensicherung in einem Konzern zuständig ist, weiß darüber hinaus, dass technische Kompatibilität allein noch keine hinreichende Bedingung für die Realisierung von Synergievorteilen ist und wie schwierig die Balance zwischen einheitlicher Konzernpolitik und Anpassung an die lokalen Erfordernisse ist. Diese Probleme gibt es objektiv auch in der öffentlichen Verwaltung. Dort spricht man auf der kommunalen Ebene auch immer häufiger vom »Konzern Stadt«. Die Integration der IT über Dezernate oder gar alle Tochterunternehmen hinweg ist jedoch kein Thema von hoher Priorität. Die fehlende Integration ist für die kommunalen Spitzenmanager und für die Öffentlichkeit nicht so relevant, weil zumeist keine Notwendigkeit zum automatischen Datenaustausch zwischen Tochterunternehmen besteht und nicht realisierte mögliche Synergieeffekte wegen fehlender Kostenrechnung nicht entdeckt und von keinem Aufsichtsrat oder von Shareholdern eingefordert werden. Teilweise wird sogar die Auffassung vertreten, dass man die gerade verselbstständigten Tochterunternehmen nicht wieder über technische Standards und Kooperationsverpflichtungen in ihrer Autonomie beschneiden dürfe. So kann man sich gut auf der jeweiligen Insel einrichten und das Kästchendenken zum Prinzip erheben. Glücklicherweise gibt es von jeder Regel Ausnahmen. Im folgenden wird skizziert, warum es im Bildungsbereich wichtig ist, ein institutionenübergreifendes IT-Management zu etablieren. Und am Beispiel des Stadtstaates Bremen wird gezeigt, dass die Realisierungschancen dafür nicht ganz so schlecht stehen. Hier ist zumindest die Bereitschaft erklärt worden, aus den Kästchen auszubrechen und die Zusammenarbeit zu versuchen. 2. IT im Bildungsbereich Bei der Kombination der Wörter Informationstechnik und Bildung denkt man zunächst an die Informationstechnik als Lerngegenstand (Computerkurse, Freundesgabe Büllesbach 2002 78 Kubicek Computerführerscheine, informationstechnische Grundbildung, Internetkurse etc.) und/oder an den Computer als Lernmittel (computergestütztes Lernen, E-Learning, Online-Kurse) für fast alle Lerninhalte in der allgemeinen und beruflichen Bildung sowie in der Erwachsenenbildung (Fort- und Weiterbildung). Beide Themenfelder liefern Diskussions- und Forschungsbedarf für Jahrzehnte. So beginnt man gerade zu erkennen, dass ein Internetführerschein vielleicht doch nicht die geeignete Attraktion ist, um bisherige Offliner für das Internet zu interessieren, obwohl sie glauben, dass es dort für sie nichts Interessantes gibt. Möglicherweise gilt die These von McLuhen »the media is the message« doch nicht so uneingeschränkt, und die Nutzungsmotivation entsteht für viele über die Erfahrung der Nützlichkeit bestimmter inhaltlicher Angebote. Zumindest wurde in der Zusammenarbeit der Bremer Universität mit der Stadtbibliothek festgestellt, dass themenbezogene Kursangebote wie »Urlaubsplanung mit dem Internet« auch Teilnehmer angezogen haben, die sich für einen Internetführerschein nicht gemeldet hätten. Ähnliche Erfahrungen wurden in einem Jugendfreizeitheim gemacht, das überwiegend von ausländischen Jugendlichen besucht wird. Von ihnen haben viele Lernschwierigkeiten in der Schule und würden an einem Internetführerscheinkurs nicht teilnehmen, weil sie sich ein erfolgreiches Bestehen der Prüfung nicht zutrauen. Daher wurde ein noch stärker indirekter Ansatz gewählt: Der Jugendsozialarbeiter schlug vor, den nächsten Disco-Abend nicht mit mitgebrachten CDs zu bestreiten, sondern die aktuellen Musiktitel aus dem Internet herunterzuladen und die Musik vom Computer abzuspielen. So ganz nebenbei wurden dabei positive Erfahrungen mit dem Internet gemacht. Welche Themen im einzelnen für welche Bevölkerungsgruppen relevant und geeignet sind, welche technischen Grundkenntnisse dabei indirekt vermittelt werden sollen, wie die sinnvolle Mischung aus Fertigkeiten und Hintergrundwissen auf der einen Seite und Spaß auf der anderen Seite aussehen soll und viele andere Fragen muss die Medienpädagogik oder wer sonst auch immer noch herausfinden und weitertragen. Ebenso sind in Bezug auf den Computer als Lernmittel mehr Fragen offen als geklärt. Der von manchen Enthusiasten versprochene schnelle Erfolg des Online-Lernens ist genauso wenig eingetreten wie die Hoffnungen in Bezug auf das computergestützte Lernen in den 70er Jahren. Die virtuellen Universitäten und vollständige Online-Kurse sind Baustellen geblieben. Es hat sich gezeigt, dass – wie es Ortner auf den Punkt bringt – auch Online-Lernen gelernt werden muss (Ortner 2002). Und das geht nicht online. Nun gilt es, die angemessene Mischung aus Präsenzkursen und Online-Elementen zu finden. Und diese fällt für unterschiedliche Bildungsstufen, Themengebiete und Teilnehmergruppen unterschiedlich aus. Daher ist es wenig hilfreich, wenn die innerbetriebliche Weiterbildung in Unternehmen als Corporate University bezeichnet wird und der Unterschied zwischen universitärer Grundausbildung und Mitarbeiterschulung verdeckt wird. Trotz dieser und vieler weiterer offener Fragen gibt es andererseits eine Freundesgabe Büllesbach 2002 Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes IT-Management 79 Gewissheit: Es geht nicht mehr um das Ob, sondern um das Wie der Informationstechnik im Bildungsbereich. Die Nutzung von Computern und Internet für Beruf und Alltag ist heute bereits und in Zukunft in noch größerem Maße eine unabdingbare Voraussetzung, um im zunehmenden Wettbewerb um Job und Karriere sowie persönliche materielle Vorteile und Anerkennung 1 zu bestehen. Keineswegs klar ist allerdings, wer diese Fähigkeiten und Kenntnisse wo erwerben kann. 3. Wer lernt wo? Seit einiger Zeit besteht weitgehender Konsens, dass alle Schülerinnen und Schüler in ihrer Ausbildung die erforderliche Medienkompetenz erwerben sollen. Dabei geht man in der Regel weit über die informationstechnische Grundbildung und ein Wahlfach Informatik hinaus. Computer, Multimedia und Internet werden zunehmend als Lehr- und Lernmittel neben Büchern, Arbeitsblättern und Ausschnitten aus Zeitungen und Zeitschriften in fast allen Fächern eingesetzt. Medienkompetenz bedeutet nämlich auch, die Stärken und Schwächen eines jedem Mediums zu erkennen und es dementsprechend in den eigenen Medienmix einzufügen und fallweise über die Nutzung zu entscheiden. Trotz oder gerade wegen der Initiative »Schulen ans Netz« wissen wir heute allerdings auch, wie weit der Weg noch ist, bis dieses Lernziel wirklich für die überwiegende Mehrheit der Schülerinnen und Schüler erreicht werden wird. Die Telekom AG und das Bundesbildungsministerium mögen stolz den Erfolg der Initiative verkünden, mit der 10.000 Schulen ans Netz gebracht werden sollten und worden sind. Aber der Netzanschluss einer Schule ist nur eine notwendige, keineswegs jedoch hinreichende Bedingung für den Erwerb von Medienkompetenz bei allen ihren Schülerinnen und Schülern. Auf die zusätzlich erforderlichen Maßnahmen wird im nächsten Abschnitt eingegangen. Zuvor muss noch geklärt werden, wo diejenigen, die keine Schule besuchen, Medienkompetenz erwerben können. Denn wie die folgende Tabelle zeigt, besuchen nur etwa 15 % der Bevölkerung die Schule oder Hochschule. Wer erwerbstätig ist, könnte im Rahmen der beruflichen Aus-, Fort- und Weiterbildung Medienkompetenz erwerben, wenn es fachlich, regional und zeitlich passende Angebote geben würde. Dies ist allerdings nicht der Fall. Selbst große Unternehmen und der überwiegende Teil der öffentlichen Verwaltung haben bisher kein Konzept für eine umfassende Schulung ihrer Mitarbeiterinnen und Mitarbeiter, vergleichbar mit den PC- bzw. Textverarbeitungskursen vor zehn Jahren. Aber immerhin kann man für die Berufstätigen die Ziele und die Verantwortlichen benennen. Weitgehend unklar ist dies hingegen für die 7 Mio. Hausfrauen und Hausmänner und die 18 Mio. Rentnerinnen und Rentner. Freundesgabe Büllesbach 2002 80 Kubicek Tab. 1: Wer lernt wo? Für ca. 35 % der Bevölkerung jenseits des schulpflichtigen Alters verfügen wir heute über keine klar erkennbaren und ausreichenden Weiterbildungsmöglichkeiten. Zwar gibt es PC- und Internetkurse für Senioren und für Frauen von unterschiedlichen Trägern. Zumindest bei den Senioren handelt es sich überwiegend noch um Pilotprojekte, deren dauerhafte Existenz und Ausbreitung in die Fläche keineswegs gesichert sind. Diese Versorgungsdefizite stehen in eklatantem Widerspruch zu den Bekundungen von der Bedeutung des Wissens und den Human Resources im Strukturwandel von der Industrie- zur Informations- oder Wissensgesellschaft 2 und von der Notwendigkeit des lebenslangen Lernens. 4. IT-Management für nachhaltige Bildungserfolge Wenn Deutschland bei der Internetnutzung weit hinter den skandinavischen Ländern zurückliegt, hat dies auch damit zu tun, dass etwa Schweden sehr viel früher und umfassender in der schulischen und außerschulischen Bildung für entsprechende Angebote gesorgt hat. Die rot-grüne Bundesregierung hat zwar vergleichbare Maßnahmen eingeleitet. Nach »Schulen ans Netz« kam »Bibliotheken ans Netz«. Aktuell sollen nach der Bundestagswahl 10.000 Jugendeinrichtungen ans Netz. Im Rahmen der Kampagne »Internet für alle« wurden u.a. Internet-Cafés für Senioren über das Deutsche Rote Kreuz eingerichtet. Die Bundesanstalt für Arbeit fördert 3 Internet-Cafés für arbeitslose Jugendliche. Vielfach handelt es sich um eine Anschubfinanzierung, die zeitlich befristet ist und von der erwartet wird, dass der jeweilige Empfänger der Förderung anschließend die Fortsetzung aus eigenen Mitteln finanziert. Dies ist jedoch Freundesgabe Büllesbach 2002 Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes IT-Management 81 keineswegs immer der Fall. Ebenso bleibt unklar, ob die geförderten Maßnahmen überhaupt den erwarteten Effekt erzielen. Eine entsprechende Evaluation findet zumeist nicht statt. Überwiegend herrscht die Auffassung bei den Zuwendungsgebern und den Zuwendungsempfängern – wie es die Titel der Kampagnen »X ans Netz« ja auch ausdrücken – dass es um ein Ausstattungsprogramm geht, mit dem Computer und Internetanschlüsse in die jeweiligen Einrichtungen zu bringen seien, und dann würden sich dort schon die erfolgreichen Lernprozesse irgendwie einstellen. Inzwischen hat sich zumindest im Schulbereich herumgesprochen, dass dies nicht so ist (Kubicek/Breiter 1998, 120). Das US-Department of Education hat schon Mitte der 90er Jahre ein Vier-Säulen-Modell der Technology Literacy Challenge entwickelt und die Gesamtkosten von Unternehmensberatungen und Universitätsinstituten ermitteln lassen (Kubicek 1998 b, 20). Die vier Säulen sind – Computer-Hardware, – Netzanschluss und interne Vernetzung, – Software und Content, – Qualifizierung der Lehrerinnen und Lehrer. Die Unternehmensberatungsfirma McKinsey hat bei der Schätzung der Kosten festgestellt, dass ca. 30 % der Investitionsmittel noch einmal jährlich für den technischen Support aufzuwenden sind (S. 15). Dieser Support umfasst technische Einweisungen und Behebung von technischen Problemen und die Aktualisierung der Software ebenso wie die Netzwerkverwaltung und Nutzeradministration sowie die inhaltliche Beratung in Bezug auf geeignete Software und Online-Materialien für die jeweiligen Themengebiete. Obwohl dies seit Jahren in der Fachdiskussion betont wird, gibt es heute immer noch Förderprogramme und Ausstattungspläne für Schulen, die lediglich die Investitionskosten umfassen und für den Support keine laufenden Sachmittel vorsehen. Dass Schulen diese aus dem allgemeinen Etat bezahlen können, ist nicht anzunehmen. Also wird improvisiert oder nichts getan. Vereinzelt gibt es kreative Lösungen, indem ein Händler gefunden wird, der den Support übernimmt und die Kosten dafür auf den Kaufpreis aufschlägt. So werden Sachmittel zu Investitionsmitteln. Aber der Händler kann nur einen Teil der insgesamt anfallenden Supportaufgaben erfüllen. Als auch in Bremen nur Investitionsmittel für die Schulen bereitgestellt wurden, das Problem der fehlenden Sachmittel erkannt, im laufenden Haushaltsjahr aber nicht mehr korrigiert werden konnte, ist die Universität mit einem Dutzend Informatik-Studenten eingesprungen und hat in Kooperation mit dem Landesinstitut für Schule den S3-Support-Service geschaffen. Die Studenten bieten den ca. 160 Bremer Schulen einen Support auf drei Ebenen an: – Im Internet werden FAQ (Frequently Asked Questions) beantwortet. – Wochentags von 9 bis 13 Uhr sind sie über eine telefonische Hotline erreichbar. – Bei konkreten und akutem Bedarf fahren sie in die Schule und helfen vor Ort. Freundesgabe Büllesbach 2002 82 Kubicek Diese Initiative hat sich so gut bewährt, dass sie inzwischen in einen Verein überführt wurde. Aus den US-amerikanischen Erfahrungen mit der Technology Literacy Challenge wurde auch die Idee der Technologiepläne entliehen und in Bremen 4 umgesetzt. In einem Technologieplan muss eine Schule darlegen, welche Bildungsziele sie verfolgt, welche Technik dazu erforderlich ist, wie sie diese beschafft. wie der Betrieb organisiert, wie die Qualifizierung des Personals erfolgen und wie das alles finanziert werden soll. Bei der Ausschreibung von besonderen Ausstattungsmitteln für Multimedia-Modellschulen durch den Bremer Bildungssenator wurde die Vorlage eines solchen Technologieplanes zur Voraussetzung für die Teilnahme gemacht. Studierende der Informatik arbeiteten in einigen Schulen mit einem kleinen Team von Lehrerinnen und Lehrern an der Erstellung solcher Pläne. Dabei wurde deutlich, dass die Lehrerinnen und Lehrer wie auch die Schulleitung auf diese speziellen Planungsaufgaben nicht vorbereitet waren und werden. Man stelle sich vor, in einer Manufaktur würden neue Maschinen aufgestellt, aber es gäbe weder Arbeitsvorbereitung noch Instandhaltung und auch keinen Plan für die Schulung der Arbeiter. Die Werksleitung würde immer noch so arbeiten wie unter den Bedingungen der Handarbeit und die neue Produktionstechnik nicht zur Kenntnis nehmen. In Unternehmen gibt es inzwischen das IT-Management, das Beschaffung, Einsatzplanung, Wartung und Betreuung sowie die Schulungsangebote plant. Es lag nahe, ein ähnliches IT-Management für Schulen zu entwickeln, deren Technikausstattung sich der von mittleren Unternehmen durchaus nähert (Breiter 2001). Inzwischen liegen grundlegende Konzepte, Handbücher und sogar eine Kurseinheit für einen Fortbildungskurs zum Schulleiter vor. Bis zu den Initiativen Senioren ans Netz und Jugendzentren ans Netz sind diese Erkenntnisse aus fünf Jahren »Schulen ans Netz« allerdings noch nicht vorgedrungen. Hier sind vielmehr die gleichen Fehler zu beobachten, die bei der ersten Initiative zur Ausstattung von Schulen gemacht wurden: – ausschließlich oder überwiegend Bereitstellung von Investitionsmitteln, – keine Mittel und kein Konzept für technischen und inhaltlichen Support, – kaum Mittel und Konzepte für die Qualifizierung des Personals im Hinblick auf die Vermittlung relevanter Inhalte für die jeweilige Zielgruppe. Dieser fehlende Erkenntnistransfer dürfte mehrere Ursachen haben. Zum einen haben die für Schulen und die für Jugendarbeit zuständigen Stellen wenig und die für Schulen und die für Senioren zuständigen noch weniger miteinander zu tun. Und wenn etwas an Informationen herüber kommt, wird dies vermutlich weitgehend verdrängt, weil man keine Lösungsmöglichkeit sieht. Wenn das Personal in Jugend- und Senioreneinrichtungen tendenziell verringert wird, kann schwerlich über Stellen für technische Betreuung beraten werden. Freundesgabe Büllesbach 2002 Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes IT-Management 83 5. Auf dem Weg zu einem IT-Management in institutionsübergreifenden Bildungsnetzwerken In Bremen liegt es nahe, den für den Schulbereich aufgebauten S-3-SupportService auch für die nun auszustattenden Jugendeinrichtungen heranzuziehen. Für die Beschaffung von Hard- und Software für die Schulen wurde kürzlich die Lern-mit-GmbH gegründet. Sie könnte auch die Beschaffung für die Jugendeinrichtungen übernehmen. Zwischen dem Senator für Bildung und Wissenschaft und dem Senator für Arbeit, Frauen, Gesundheit, Jugend und Soziales gibt es sowohl auf der politischen als auch auf der Arbeitsebene die Verabredung, auf dem Gebiet des IT-Management Ressourcen soweit wie möglich zu bündeln, um so Verwaltungskosten zu sparen und Mittel für die personelle Betreuung freizumachen. An dieser Abstimmung wird sich auch die Stadtbibliothek beteiligen, die beim Senator für Inneres angesiedelt ist. Diese Bereitschaft zur ressortübergreifenden Zusammenarbeit ist ein bemerkenswerter Schritt, der so nicht unbedingt zu erwarten war. Er ist sicherlich teilweise der Erkenntnis geschuldet, dass man allein das eigene Ziel nicht erreichen kann und aus wirtschaftlicher Not zusammenarbeiten muss. Die Absichtserklärung ist zudem noch keine Umsetzung. Und auch dort, wo der Wille vorhanden ist, stellen sich in der konkreten Praxis vielfältige technische, organisatorische und wirtschaftliche Probleme, vor denen das IT-Management in Konzernen genauso steht. Die geschilderte bisherige Entwicklung war ein Lernprozess durch Trial and Error. Wesentlich dabei war u.a. eine praktisch-konstruktive und gleichzeitig kritisch-reflektierende Zusammenarbeit zwischen der Universität und den zuständigen Behörden. Die Bereitschaft, aus dem Kästchendenken auszubrechen, wurde auf der Seite der Bildungsbehörde maßgeblich auch durch die Person des Senators, den ehemaligen Manager von Werder Bremen, Willi Lemke, gefördert. Es war und ist sein persönliches Ziel und sein politischer Auftrag, Innovationen im Schulsystem anzustoßen und erfolgreich zu implementieren. Ein bemerkenswertes Beispiel sind die in einem Kooperationsprojekt mit der Deutschen Telekom AG inzwischen eingerichteten 25 WebPunkte. 25 Schulen haben jeweils einen Multimedia-Raum mit 15 PCs und einem Breitbandanschluss unter der Bedingung erhalten, dass sie diese Ausstattung nachmittags für Angebote an die Stadtteilöffentlichkeit nutzen. Entsprechende Angebote werden von Schülerinnen und Schülern, den sogenannten Web-Scouts, entwickelt und betreut, die von einem dafür verantwortlichen Lehrer ausgewählt und unterstützt werden. Diese Initiative führt nicht nur zu einer besseren Ausnutzung der in den Schulen installierten Technik, sondern auch zu verbesserten und neuen Kontakten zwischen Schulen und ihrer Nachbarschaft. Allerdings ist auch diese Initiative nicht ganz ohne Probleme. In einigen Stadtteilen beschweren sich die Jugendeinrichtungen, dass ihnen die technisch besser ausgestattete Schule nun am Nachmittag die Jugendlichen abzieht. Diese unerwartete Konkurrenzsituation ist ein zusätzlicher und konkreter Anlass, die Kooperation über das Freundesgabe Büllesbach 2002 84 Kubicek IT-Management hinaus auch auf die Frage der Abstimmung inhaltlicher Angebote bis hin zu gemeinsamen Projekten auszuweiten. Von diesem Konkurrenzproblem und eventuellen Kooperationschancen sind allerdings nicht nur städtische Jugendeinrichtungen betroffen. Die Mehrheit der Jugend- und auch der Senioreneinrichtungen in Bremen befindet sich nicht in kommunaler Trägerschaft, sondern wird von sogenannten Freien Trägern der Wohlfahrtspflege betrieben. In einer Studie der Einrichtungen, die in Bremen einen Internetzugang anbieten, wurde festgestellt, dass die Situation in den Einrichtungen dieser freien Träger eher noch problematischer ist, weil sie vielfach auch keine stabile Personalausstattung haben, sondern mit ABM-Kräften und Zivildienstleistenden arbeiten (Kubicek/Welling 2001). Oft sind es diese jungen Mitarbeiter, die aus eigenem Interesse an Computern und Internet entsprechende Angebote in den Einrichtungen starten, ohne alle erforderlichen Voraussetzungen schaffen und längerfristig gewährleisten zu können. Eine Einbeziehung dieser Einrichtungen in ein institutionenübergreifendes regionales IT-Management für alle Einrichtungen des lebensbegleitenden Lernens erscheint auf den ersten Blick kaum realistisch. Können Behörden so weit aus ihren Kästchen-Vorstellungen von Zuständigkeiten und Mitteln etc. heraustreten? Werden dabei nicht vielfältige Regeln der Mittelverwendung verletzt? Aber andererseits muss man Visionen haben. Wenn lebenslanges oder lebensbegleitendes Lernen auf breiter Basis ermöglicht werden soll, gehört dazu auch das informelle Lernen. Dies findet nicht in erster Linie in Schulen, Universitäten, Volkshochschulen und anerkannten Weiterbildungseinrichtungen statt. Jugend- und Senioreneinrichtungen gehören nach der hier ver5 tretenen Auffassung unverzichtbar zur Bildungsinfrastruktur hinzu. Ihre Technikausstattung ist für die Entwicklung der Medienkompetenz in einer Region genauso wichtig wie die der klassischen Einrichtungen. Ohne die freien Träger ist Jugend- und Seniorenarbeit überhaupt nicht denkbar. Daher sind diese auch in entsprechende Planungen einzubeziehen. Die Vision ist, dass sich eine Region systematisch damit beschäftigt, welche Bildungsangebote für welche Bevölkerungsgruppen in welcher Form und zu welchen Themen ermöglicht werden und wie die Träger dieser Angebote Kosten durch gemeinsame Nutzung von Ressourcen sparen und über Profile ihrer Angebote in einer gesunden Mischung aus Kooperation und Konkurrenz beraten. Das ist das, was man organisatorisch als Netzwerk bezeichnet. Ob der Landesausschuss für Weiterbildung entsprechend erweitert werden kann und will oder ob zunächst analog dem Agenda 21-Prozess ein »runder Tisch« als Forum besser geeignet ist, muss geklärt werden. Die Chancen dazu sind gar nicht so schlecht und die Vision gar nicht so unrealistisch, wie sie auf den ersten Blick scheint. Bremen beteiligt sich nämlich an dem Förderprogramm Lernende Regionen des Bundesbildungsministeriums mit einem Konzept »Lernnetzwerk Bremen«. In diesem von der Arbeitnehmerkammer koordinierten Projekt sind zwar noch nicht alle hier Freundesgabe Büllesbach 2002 Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes IT-Management 85 genannten Einrichtungen und Träger vertreten. Die Möglichkeit dazu besteht durchaus. Auch das Landesprogramm Bremen in T.I.M.E. räumt der Weiterbildung und dem lebenslangen Lernen einen hohen Stellenwert ein. Noch existiert kein Bauplan, aber die Bausteine für ein zukunftsweisendes Netzwerk von Lernorten sind vorhanden. Die Bereitschaft, die bisherigen Grenzen zu überschreiten und aus den engen Kästchen auszubrechen, ist vorhanden und kann durch entsprechende Anreize aus Bundes- und Ländermitteln nur noch verstärkt werden. Und längerfristig ist auch nicht auszuschließen, dass sich große Unternehmen in der Region an einem solchen Netzwerk beteiligen und ihr Know-how zu IT-Management incl. Datenschutz und IT-Sicherheit einbringen. 1 2 3 4 5 Vgl. auch die Beiträge in Herbert Kubicek 1998 a. Vgl. Centre for Educational Research and Innovation 1998; OECD 2001 sowie Dohmen 1998. Informationen über diese und andere Projekte findet man im Webangebot des Netzwerks Digitale Chancen, http://www.digitale-chancen.de. Vgl. zu Technologieplänen Kubicek 1998 b,, 39 ff. Dass diese Auffassung noch nicht weit verbreitet ist, kann man an dem kürzlich erschienen White Paper 21st Century Literacy erkennen. Das Kapitel über Bildung beschäftigt sich ausschließlich mit Schulen. Vgl. Bertelsmann Stiftung und AOL Time Warner Foundation 2002. Literatur: Bertelsmann Stiftung / AOL Time Warner Foundation (2002): 21st Century Literacy Summit, 7. / 8. März 2002. Breiter, Andreas (2001): IT-Management in Schulen. Neuwied 2001. Centre for Educational Research and Innovation (1998): The Well-being of Nations. Dohmen, Günther (1998): The Future of Continuing Education in Europe. Bundesministerium für Bildung und Forschung, Bonn 1998. Kubicek, Herbert u.a. (Hrsg.) (1998 a): Lernort Multimedia. Jahrbuch Telekommunikation und Gesellschaft 1998. Heidelberg 1998. Kubicek, Herbert (1998 b): Medienmanagement in Schulen. Erfahrungen aus den USA und erste Folgerungen für Hessen. Schriftenreihe Hessen Media, Hessische Staatskanzlei (Hrsg.), Wiesbaden 1998, S. 20 ff. Kubicek, Herbert, Breiter, Andreas (1998): Schulen ans Netz – und dann? Informationstechnikmanagement als kritischer Erfolgsfaktor für den Multimediaeinsatz in Schulen. In: Kubicek, H. u.a. (Hrsg.): Lernort Multimedia. Jahrbuch Telekommunikation und Gesellschaft 1998. Heidelberg 1998, S. 120 – 129. Kubicek, Herbert, Welling Stefan (2001): Studie zur betreuten Internetnutzung im Land Bremen. Bestandsaufnahme, Defizitanalyse, Handlungsoptionen. Technologie-Zentrum Informatik der Universität Bremen. Januar 2001, http://infosoc2.informatik.uni-bremen.de/website/pdf/studie.pdf. OECD (2001):The Role of Human and Social Capital. Paris 2001. Ortner, Gerhard E. (2002): Auch E-Learning muss erst gelernt werden. In: Freundesgabe Büllesbach 2002 86 Kubicek Lauer-Ernst, Ute (Hrsg.): »IuK-Technologie – Portal zur Wissensgesellschaft«. Dokumentation einer Fachtagung vom 19. bis 21. November 2001 im Wissenschaftszentrum Bonn. Bundesinstitut für Berufsbildung Bonn 2002, S. 89 – 97. Freundesgabe Büllesbach 2002 87 Wolfgang Coy Weder vollständig noch widerspruchsfrei Informatik ist eine technische Wissenschaft. Das ist eine banale Erkenntnis, die dennoch viel Widerspruch erfahren hat (Coy 2001). Rechnerbau und Softwareentwicklung, die gewachsenen Kernbereiche der Informatik kommen aus einer konstruktiven technischen Praxis, nämlich einerseits dem Präzisionshandwerk des Instrumentenbaus und andererseits aus der Mathematik, vor allem der Numerik. Die faszinierende Leistung der Pioniere der Informatik bestand darin, eine mathematisch-logische Basis der maschinellen Rechenkunst zu schaffen. Alan Turing und John von Neumann haben diese Fundierung frühzeitig erkannt, aber auch Konrad Zuse hat sich immer wieder mit der mathematisch-logischen Basis des Rechnens befasst. Logik, Daten und Algorithmen sind die drei formalen Bauelemente der Informatik. Deren Umsetzung in rechnende Maschinen, die Kopplung mit digitalisierten Signalen und die globale Vernetzung haben die moderne Informatik geformt. Bau und Programmierung von Rechenanlagen haben eine eigentümliche Form der Kommunikation geschaffen, nämlich die Notwendigkeit, eine vom Computer zu bearbeitende Aufgabe in kontextfreier, strikt kalkülhafter Weise zu formulieren, eben: zu programmieren. Dies war vergleichsweise einfach, als die Computer noch Rechner waren: Numerische Berechnungen sind naheliegenderweise algorithmisch und als Programme notierbar. Je mehr aber die Informatik in die technische, industrielle und gesellschaftliche Praxis vordringt, um so unschärfer werden Aufgabenstellungen und um so bedeutender wird der jeweilige Kontext. Kontexte treten in vielfältiger Form auf, die die Auswahl der anwendbaren Programmverfahren einschränken. Je nach Aufgabe mögen unterschiedliche Anforderungen an die Präzision einer Rechnung oder die Reaktionsgeschwindigkeit eines Programms gestellt werden. So haben Banken bestimmte Rundungsregeln, die am besten besser durch BCDArithmetik statt durch binäre Arithmetik abgebildet werden. Realzeitsysteme, wie beispielsweise ABS-Steuerungen im Auto, geben bestimmte maximale Reaktionszeiten für die Berechnung vor. Am restriktivsten aber mögen die rechtlichen, politischen und vor allem die ökonomischen Zwänge wirken, die im jeweiligen Anwendungskontext vorgegeben sind. Kurz gesagt: Reale Aufgaben der Informatik entstehen im Kontext, werden im Kontext geformt und hängen von ihrem Kontext ab. Die informatische Lehre hat sich lange auf die Vermittlung von kalkülhaftem Wissen und kalkülhaften Fertigkeiten konzentriert und reale Kontextbeschränkungen weitgehend ignoriert – mit zwei wichtigen, freilich innertechnischen Ausnahmen: Rechengeschwindigkeiten und Speicherbedarf. Das entsprach den unmittelbaren technischen Gegebenheiten – alle Computer sind bis auf den heutigen Tag zu langsam und stellen zu wenig Speicher zur Verfügung. Nicht nur die Konstrukteure und Programmierer, sondern auch die Theoretischen Informatiker haben diesem Problemkreis deshalb besondere Freundesgabe Büllesbach 2002 88 Coy Aufmerksamkeit gewidmet: In der Komplexitätstheorie wird unterhalb der harten Schranke der Berechenbarkeit vor allem das Laufzeitverhalten und der Platzbedarf von Algorithmen untersucht. Die allgemeineren Kontexte der informatischen Anwendungen werden in Lehre und Forschung meist weniger aufmerksam verfolgt – wenn überhaupt. Nach wie vor bilden Regelhaftigkeit, Explizitheit, Korrektheit, Vollständigkeit oder Entscheidbarkeit die Leitlinien informatischer Ausbildung. In der Informatik werden in erfolgreicher Tradition einzelne Aspekte der beruflichen und wissenschaftlichen Anforderungen gelehrt, es mangelt aber an der Integration zu einem reflektierenden Ganzen. Dies ist um so bedauerlicher als die Informatik sich in ihrem Objektbezug regelmäßig gehäutet hat – von den Rechenautomaten über die Minis, Workstations und PCs zu den vernetzten Medienmaschinen, die uns heute zur Verfügung stehen (Coy 1995, Coy 1997). Das Fach Informatik bleibt aber in der technischen (oder theoretischen) Ausbildung stecken und ignoriert die Anwendungen und Kontexte weitestgehend; es wird nicht zur Wissenschaft, 1 denn auch hier gilt: »Das Wahre ist das Ganze.« In der industriellen Praxis bleibt dies nicht unbeobachtet und so mehren sich seit über einem Jahrzehnt die Stimmen, die neben den formalen Qualifikationen in der Ausbildung die sogenannten »soft skills« einfordern. Obwohl dies eine eher unscharfe Beschreibung erkennbarer Ausbildungsdefizite ist, werden vor allem fehlende Anwendungsorientierung, unterentwickelte kommunikative Kompetenz, mangelnde soziale Kompetenz und unzureichende 2 Einübung zur Teamarbeit in der Informatiklehre eingeklagt. Das sind nun Anforderungen, die nicht additiv, durch Hinzufügen weiterer Wissensbestände, zu beheben sind; hier werden Fertigkeiten erwartet, die über das Faktenwissen und isolierte technische Kenntnisse und Praktiken hinausgehen. Während über die Analyse des Mangels eine zunehmende Einigkeit besteht, gibt es keine Übereinkunft zu deren Beseitigung. Fraglos jedoch muss die in ihrer Weise erfolgreiche formale technische Lehre der Informatik um Ausbildungselemente erweitert werden, die diese soft skills vermitteln. In besonderer Weise scheint das Gebiet Informatik und Gesellschaft dafür geeignet zu sein, da die Analyse des Kontextes der Informatik den Ausgangspunkt einschlägiger Forschung und Lehre bildet. Die Minimalforderung eines zeitgemäßen Updates der Informatiklehre ist deshalb, endlich an allen Informatikfakultäten und Fachbereichen ein solches Fach als selbstständige Einheit einzuführen. Was soll nun in einem solchen Fach Informatik und Gesellschaft vermittelt werden? Angesichts der Lernziele der gewachsenen Ausbildung in Informatik muss Informatik und Gesellschaft in gewisser Weise komplementär arbeiten. Wir haben auf die Vermittlung der soft skills hingewiesen. Zwei weitere Aufgaben scheinen mir hinzuzukommen, die über diese berufsqualifizierenden Anforderungen hinausgehen. Das ist zum einen die Reflexion der Informatik als Ganzes, in dem sich die Teile der gesamten zu einem umfassenden (eben »gesellschaftlichen«) Kontext verbinden lassen. Zum anderen gilt es, kritische Urteilskraft zu entwickeln, nämlich die Befähigung, im konkreten Freundesgabe Büllesbach 2002 Weder vollständig noch widerspruchsfrei 89 Kontext potentielle und reale Konflikte oder Widersprüche zu erkennen, diese zu analysieren und in widersprüchlicher Entscheidungslage gegebenenfalls Werturteile zu fällen. Dies kollidiert vordergründig mit der großen und erfolgreichen mathematischen Tradition der Informatik, die in ihren Kalkülen ja aus guten Gründen jeden logischen Widerspruch verbannt. Konflikte und Widersprüche im Alltag, außerhalb der formalen Kalküle, sind aber der Stoff, aus dem der Fortschritt wächst, sie sind die Basis des »Werdens«, wie Hegel es in seiner Sprache ausdrückt. Widersprüche sind eben auch die Ausgangslage der Konkurrenz, der Triebkraft der wirtschaftlichen Entwicklung ebenso wie des wissenschaftlichen oder technischen Fortschrittes. Dies verlangt die Fähigkeit, komplexe Systeme aus technischer Sicht zu beurteilen wie aus nichttechnischer Sicht. Im Konkreten sind dies Befähigungen, die auch in den Teilgebieten der Informatik gelehrt und gelernt werden müssen, Informatik und Gesellschaft ist der »natürliche Ort«, wo die Informatik als Technik im Kontext und als »Ganzes« reflektiert werden kann. Angesichts der spezialisierten technischen und theoretischen Fachgebiete, die sich bislang in der Informatik entwickelt haben, ist es nun endlich an der Zeit, in allen Informatikfachbereichen Fragen zum Verhältnis zwischen Informatik und Gesellschaft in Lehre und Forschung zu verankern. Dies ist eine notwendige Forderung, sie reicht aber nicht aus, wenn dies nur als Anreicherung bestehender Lehre um einige weitere Aspekte verstanden wird. Sicher gehören Anwendungsorientierung und die damit verbundenen kontextbewussten »soft skills« in alle Lehrfächer praxisbezogener Informatik, denn nur so können sie zur selbstverständlichen beruflichen Qualifikation werden. Doch die Vorstellung, Informatik und Gesellschaft sei als eigenständiges Fach überflüssig, wenn nur alle anderen Vorlesungen und Seminare diese Aspekte hinreichend berücksichtigten, schießt über das Ziel hinaus. So verständlich dieser Wunsch nach einem ganzheitlichen Unterricht klingt, so geht er doch am Zwang zur Arbeitsteiligkeit vorbei, der aus der Komplexität der Probleme erwachsen ist. Um den reichhaltigen Kontext moderner Informatiksysteme angemessen zu vermitteln, muss die Lehre in Informatik und Gesellschaft so vielfältige Inhalte wie Informationsrecht, (alte und neue) Ökonomie oder Arbeits- und Berufswelt der Informatik ansprechen und gegebenenfalls vertiefen. Darüber hinaus muss Informatik und Gesellschaft die geistigen und kulturellen Grundlagen des Faches vermitteln und nicht zuletzt sollen die Fähigkeit zur Bewertung soziokultureller Prozesse geweckt werden – von der berufsspezifischen Ethik bis zu den historischen und politischen Aspekten der Globalisierung und Informationsgesellschaft. So begrüßenswert es ist, wenn solche Themen an der richtigen Stelle im fachlichen Kontext an- und ausgesprochen werden, so scheint es mir doch unerlässlich, diese Themenkomplexe auch im eigenen Kontext und mit der eigenen Logik, eben in einem eigenen selbstständigen Fach Informatik und Gesellschaft, zu präsentieren und zu diskutieren. Eine solche Antwort auf die komplexen Herausforderungen positionierte die Informatik als eine Technikwissenschaft neuen Typs, die sich aus einer erfolgreichen Praxis zu einer reflektierenden Wissenschaft mausert. Freundesgabe Büllesbach 2002 90 Coy In welchen Formen soll Informatik und Gesellschaft gelehrt und gelernt werden? Das Fach befindet sich in der Konkurrenz mit anderen Informatikfächern und muss zuvorderst die Anforderungen der jeweiligen Studien- und Prüfungsordnungen erfüllen. Das wird im Regelfall bedeuten, dass die üblichen Vermittlungsformen der Vorlesung, der Übung und des Seminars gewählt werden müssen. Den Besonderheiten des Faches werden diese Formen freilich nicht im gleichen Maße gerecht, wie es bei den anderen Fachgebieten der Informatik der Fall sein mag. Informatik und Gesellschaft ist in wesentlich stärkerem Maße diskursiv angelegt als es die reine Wissensvermittlung oder Einübung von Praktiken verlangt. Deshalb müssen Diskussionen in Übungen und Seminaren helfen, kontextbezogene Kritik3 fähigkeit zu fördern und Urteilskraft zu stärken. Es ist für viele Studierende (und Lehrende) in der Informatik ungewohnt, über Themen zu reden, die nicht einen »one best way« als »Lösung« kennen. Um sich mit solchen Themen auseinanderzusetzen, die ja im ökonomischen, rechtlichen und politischen Alltag andauernd auftreten, ist es wichtig, Themen zu bestimmen, die aktuell sind und die eine nachvollziehbare Verbindung zur Informatik besitzen. Nur so kann das im Studium erworbene informatische Fachwissen integriert werden in ein angemessenes reflektiertes Urteil, das dann im konkreten Fall bei den Studierenden (wie bei den Lehrenden) unterschiedlich ausfallen mag. Hier kann kommunikative Kompetenz (und Toleranz) praktisch geübt werden. Zur Stärkung kommunikativer Kompetenz und der Urteilskraft ist es sicher hilfreich, gelegentliche methodische Anleihen bei anderen Wissenschaften zu machen. Wir erleben ja seit 25 Jahren, dass sich die früher so geschlossene Welt industrieller Datenverarbeitung zur Büro-, Medien- und Spielemaschine PC erweitert hat. Dieser Prozess ist in den letzten zehn Jahren mit dem Internet noch weiter beschleunigt worden und so bietet das Netz dem Bereich Informatik und Gesellschaft ein globales soziales und kulturelles Labor in Realzeit an. Die umfassende und rasant aufblühende Ausprägung Digitaler Medien belegt mehr als irgendeine andere Entwicklung die unmittelbare Kopplung von Informatik und Gesellschaft, Informatik und Kultur. Das Fach hätte sich kein spannenderes Szenario ausmalen können – wir sollten dieses Labor also umfassend nutzen. So mag hilfreich sein, quasi-ethnographische Erkundungen vorzunehmen, um reale Fragestellungen zu untersuchen. Der gezielte Einsatz des WWW ist hier ebenso wie die Expertenbefragung oder auch einmal die Umfrage unter Betroffenen. Solche Verfahren werden zur äußerst wirkungsvollen Ergänzung der Literaturrecherche. Zu den besonderen Herausforderungen in der Lehre gehört der Umgang mit Konfliktstoffen. Von den Juristen haben wir an der Humboldt-Universität übernommen, in den Übungen aktuelle Kontroversen der Informationstechnik in einer Art öffentlicher Verhandlung in Proponenten- und Opponentenrollen zu vertreten. Das ist für Studierende und Lehrende ungewohnt, aber es ist ein gutes Training zum Präsentieren, Zuhören und Urteilen. Auch die Vorlesung muss ihren Charakter unter den nichttechnischen Inhalten des Fachs ändern. Die Aufgabe, in den Freundesgabe Büllesbach 2002 Weder vollständig noch widerspruchsfrei 91 Veranstaltungen für Informatik und Gesellschaft Kontexte zu vermitteln, mag Lehrende dazu bringen, ihre Kenntnisse und Erfahrungen nicht nur in einer streng systematischen Form anzubieten, sondern die Vorlesung auch dazu zu nutzen, eine Fragestellung in Form einer »Geschichte« zu erzählen. Wir haben damit gute Erfahrungen gemacht. Fraglos können solche didaktischen Ansätze auch wesentliche Elemente eines Projektstudiums werden, wie es an einigen Hochschulen seit langem erfolgreicher Teil der Ausbildung ist. Gerade die Möglichkeit, einen Themenbereich unter unterschiedlichen Aspekten zu behandeln, fordert dazu heraus, ein aktuelles Informatikthema auch unter Aspekten von Informatik und Gesellschaft zu behandeln – sinnvollerweise in Kooperation mit Kollegen aus dem Kernbereich der Informatik. Insgesamt bietet die Lehre in Informatik und Gesellschaft stärker als andere Fachgebiete Anlässe, mit neuen Lehr- und Lernformen zu experimentieren. Bei aller Aufgeschlossenheit bleibt freilich als notwendige Einsicht: Das Ganze kann nicht gelehrt (oder gelernt) werden, aber wir können viel mehr als nichts lernen (und lehren). Das »Wahre« kann nur bruchstückhaft aus seinen Teilen heraus thematisiert werden. Doch schon die formale Logik lehrt uns: Solange Lehre »korrekt« bleibt, wird sie niemals vollständig sein. Wo sie aber lebendig ist, wird sie Widerspruch ernten. Wie immer wir die Lehre gestalten, gilt bei aller Bemühung unvermeidlich: Weder vollständig noch widerspruchsfrei! 1 2 3 Hegel fährt ja nach seinem berühmten Satz in der Einleitung zur Phänomenologie des Geistes fort mit: »Das Ganze aber ist nur das durch seine Entwicklung sich vollendende Wesen.« Nun ist nicht mit einer Vollendung der Informatik zu rechnen, aber eine gewisse Entwicklung ist sehr wohl erkennbar. Vgl. Empfehlung der Gesellschaft der Informatik e.V. (1999) zur Stärkung der Anwendungsorientierung in Diplom-Studiengängen der Informatik an Universitäten.. Gezielt betonen dies auch die »Ethischen Leitlinien« der Gesellschaft für Informatik von 1993, denen die Mitglieder mit sehr großer Mehrheit zugestimmt haben (Arbeitskreis Informatik und Verantwortung (1993). Damit soll die Wichtigkeit diskursiver Aneignungsweisen in den Kernfächern der Informatik keineswegs geschmälert werden. Jedoch sind ein oder zwei Seminare im ganzen Studium, die dann noch auf einen Vortrag mit Nachfragen reduziert werden, einfach zu wenig! Literatur Coy, Wolfgang (2001): Was ist Informatik? Eine kurze Geschichte der Informatik in Deutschland. In: Desel, Jörg (Hrsg.), Das ist Informatik, Berlin – Heidelberg – New York: Springer 200.1 Coy, Wolfgang (1995): »Automat – Werkzeug – Medium«, Informatik Spektrum 18:1 (1995). Coy, Wolfgang (2001): Bildschirmmedium Internet? Ein Blick in die Turingsche Galaxis. In Schanze, H. & Ludes, P. (Hrsg.), Qualitative Perspektiven des Medienwandels, Opladen: Westdeutscher Verlag 1997. Freundesgabe Büllesbach 2002 92 Coy Gesellschaft der Informatik (1999): Empfehlung der Gesellschaft der Informatik e.V. zur Stärkung der Anwendungsorientierung in DiplomStudiengängen der Informatik an Universitäten. In: Informatik Spektrum 22(6), 1999. Arbeitskreis Informatik und Verantwortung (Hrsg.) (1995): Ethische Leitlinien der Gesellschaft für Informatik, Informatik-Spektrum 16, 1993. Freundesgabe Büllesbach 2002 93 Günter Müller Enthält die Informatik Sprengkraft für Regulierungssysteme? Grundlegende Ziele von Regulierungssystemen sind es, im besten Falle die Interessen der Betroffenen zu gewährleisten und im wirtschaftlichen Kontext einen chancengleichen Wettbewerb zu ermöglichen. Dabei sind unter einem Regulierungssystem alle Maßnahmen zu verstehen, die zur spezifischen Zielerreichung notwendig sind. Technik und damit auch die Informatik sind in diesem Sinne nur Werkzeuge und damit nicht wirklich bestimmend für Regulierungssysteme im allgemeinen. In den vergangenen Jahren ist dieses unerschütterliche Fundament jedoch ins Wanken geraten. So wird auf der einen Seite behauptet, dass es sich bei den Folgen der Informatik um etwas völlig Neues handle, während auf der anderen Seite die komplexen und vielfältigen Auswirkungen nur im Detail als neue, in der Struktur jedoch bekannte Herausforderungen gesehen werden. Die Informatik hat Werkzeugcharakter. Unklar ist jedoch, ob der dadurch ermöglichte Rationalisierungsgewinn so stark ist, dass nur die Begründungen verschieden, die Ergebnisse beider Schulen jedoch identisch sind. Der nachfolgende Beitrag stellt einen Diskussionsbeitrag dar, wie die Fortschritte in der Technikentwicklung eingeschätzt werden können, in der Hoffnung, dass mit Hilfe der Sprengkraft aus Unwissenheit durch bewusste Veränderung Wissen werden kann. Der vorliegende Beitrag hat zum Ziel, die treibenden und gesellschaftsverändernden Kräfte der Informatik darzustellen, um die Sprengkraft nicht nur negativ wahrzunehmen, sondern in Kenntnis aller Ambivalenz die positiven Seiten des technischen Fortschrittes nutzbar zu machen. 1. Zukunftsforschung und die Abgrenzung zum Orakel von Delphi Die Gesellschaft stellte an die Wissenschaft schon immer nicht nur im Bereich der objektiven Fakten und der intersubjektiven Wahrheiten hohe Anforderungen, sondern erwartete wegen der erfahrbaren Wechselwirkungen in die Gesellschaft hinein auch Aussagen über die möglichen Chancen und Risiken (Müller 1996). In der Antike entstand daraus die schon damals gescheiterte Idee nach der direkten Herrschaft der Philosophen. Heute ist die antike Idee noch immer lebendig und äußert sich in der Forderung nach gesellschaftlicher Verantwortung der Experten selbst. Die Nachfolge der Philosophen gewissermaßen als Sprengmeister bisheriger gesellschaftlicher Vorstellungen treten mit wechselnder Beachtung die Informatiker, die Biologen und vor einigen Jahrzehnten die Physiker an. Dies stellte für viele eine neue und oft bittere Erfahrung dar, war man doch der Ansicht, dass Technik nur ein Werkzeug sei (Müller 2001). Diese Denkweise ist noch immer und nicht nur vereinzelt vorhanden. Prognosen sind bisher in der Informationstechnik immer dann falsch gewesen, wenn die Perspektive über drei Jahre und die Prognose über Freundesgabe Büllesbach 2002 94 Müller das Allgemeine und Unverbindliche hinausging. Die Nützlichkeit der wissenschaftlich basierten Zukunftsforschung hat dabei wohl die Treffsicherheit des delphischen Orakels nicht übertroffen. 2. Welche Fragen sollten an die »Informatik« gestellt werden? Das Fach »Informatik« ist eine Realwissenschaft und ist erkenntnisgetrieben. Mit inzwischen anerkannten Methoden werden Aussagen zu den Erkenntnisschritten Beschreibung, Erklärung, Vorhersagen und Gestaltung des Erkenntnisgegenstandes »Informationssysteme« abgeleitet. Die wissenschaftliche Selbstkontrolle innerhalb der Disziplin ermöglicht die Einhaltung anerkannter Qualitätsstandards, die als wesentliche Regulierungsmechanismen anzusehen sind. Zwischen der wissenschaftlichen Befriedigung der gesellschaftlichen Anforderungen durch Beschreibungen, Erklärungen sowie der Akzeptanz von Vorhersagen und der Realisierung in der Technikgestaltung der Informatik selbst liegen scheinbar unüberbrückbare Hürden. Die Informatik wird als eine Disziplin gesehen, die durch die Verwertbarkeit ihrer Ergebnisse eine universelle Bedeutung erlangt hat, die nicht nur den Wohlstand ganzer Volkswirtschaften, die Wettbewerbsfähigkeit von Unternehmen, sondern auch die Fähigkeit des Einzelnen, am Fortschritt teilzunehmen, maßgeblich bestimmt (Mansell/Steinmüller 2001). In diesem Kontext werden vom Fach »Informatik« Antworten auf drei Fragestellungen erwartet (Müller 2001): a) Was kann geschehen? Ausgehend vom gegenwärtigen Stand der Technik und innerhalb der Informatik selbst sind Beschreibungen, Erklärungen und Abschätzungen der potentiellen Entwicklung zu erbringen (technische Frage). b) Was wird geschehen? Die meisten wissenschaftlichen Erkenntnisse bleiben ohne gesellschaftlichen Effekt im akademischen Bereich oder in den Labors der Wirtschaft stecken. Sie werden nie zu einer Innovation. Die Auswahl der »zukunftsträchtigen« Ergebnisse aus dem wissenschaftlichen Vorrat wird zunehmend nach wirtschaftlichen, aber auch nach politisch orientierten Kriterien bestimmt (wirtschaftliche Frage). c) Was soll geschehen? Es geht auch hierbei um die Technikauswahl zur Beeinflussung der Technikgestaltung, nur wird die Einbeziehung zusätzlicher Kriterien gefordert, die eher dem ethischen, moralischen oder auch humanen Bereich zuzuordnen sind, also zu normativen Orientierungen führen sollen (Mansell/ Steinmüller 2001) (gesellschaftliche Frage). Die zu überwindenden Lücken und Hürden solch komplexer Aufgabenstellungen sind kaum durch eine zentrale Organisation zu regulieren, sondern erfordern die Kooperation und den Diskurs der beteiligten Disziplinen. Dies soll beispielhaft an zwei aktuellen Fällen gezeigt werden: Freundesgabe Büllesbach 2002 Enthält die Informatik Sprengkraft für Regulierungssysteme? 95 A. Bezahlfernsehen in Europa: Die Firmen Bertelsmann und Kirch haben mit erheblichem finanziellen Aufwand eine technisch konkurrenzfähige Lösung für das Bezahlfernsehen entwickelt, die einen weltweiten Vorsprung geboten hätte. Die technische Lösung war führend und die wirtschaftliche Entscheidung war sowohl betriebswirtschaftlich, aber auch volkswirtschaftlich durch die wohlfahrtsorientierten Folgen einer solchen Großtechnologie begründet und von jedermann mit Fachkompetenz nachvollziehbar. Die Entscheidung zur Ablehnung erfolgte auf der gesellschaftlichen Ebene durch die EU-Kommission. Wirtschaftlich tragbar wäre das Vorhaben nur gewesen, wenn Inhalte und die Verteilung in einer Hand gelegen hätten. Die Verbindung von Technologie und Inhaltsanbieter trug damit die Gefahr – nicht Gewissheit – einer gesellschaftlich nicht gewollten Dominanz in sich. B. Microsoftklage in den USA: Nur vordergründig steht eine spezifische, scheinbar wenig bedeutende Verkaufs- und Bündelungsstrategie von Microsoft auf der Anklagebank. Der Internetexplorer wird kostenlos bei Bezug von WINDOWS mitgeliefert und wird wegen der monopolartigen Stellung von WINDOWS für viele zum primären Zugang ins Internet. Der Marktanteil von NETSCAPE ist wohl auch als Folge davon auf ca. 14% gesunken. Ausgangs-punkt dieser Strategie ist jedoch eine auf technisch unbestreitbaren Fakten aufbauende Geschäftspolitik. Alle Produktgrenzen in der Informatik sind künstlich und durch die Hierarchie der aktuellen Systemarchitekturen bestimmt. Die bisherige Begründung der Anklage stellt dies nicht in Frage, sondern lautet auf Behinderung des wissenschaftlichen Fortschrittes und das Erstreben einer marktlichen Dominanz. Der Hinweis auf die technische »Ignoranz« der Ankläger durch Microsoft entbehrt nicht einer gewissen Überzeugungskraft. Gibt es nun eine Möglichkeit, zumindest auf jeder einzelnen Abstraktionsebene und damit isoliert für jede der obigen Fragen Objektivität zu erreichen? Es ist aus beiden Fällen sichtbar, dass nur im Bereich der technischen Fragestellungen Aussagen innerhalb eines Faches unter Einbeziehung aller dort geltenden Aspekte möglich sind. Bereits bei der wirtschaftlichen, aber vermehrt bei der gesellschaftlichen Frage sind Aussagen »ex cathedra« immer fachübergreifend. So können im technischen Bereich durch das Fach »Informatik« die Ansatzpunkte identifiziert werden, die zur Aufdeckung der Auswirkungen, sowohl auf die Gesellschaft als auch auf die Wirtschaft geeignet sind. Des weiteren sind die Anforderungen für eine »gesellschaftlich« vorausschauende und akzeptable Technikgestaltung zu erkennen. Die gesellschaftlichen Triebkräfte sind allerdings historisch bisher meist erst ex-post festgestellt worden. Sollte der technische Fortschritt in der Informatik in der bisherigen Form erhalten bleiben, wird wohl auch die Sprengkraft der Technik unumgänglich sein. Freundesgabe Büllesbach 2002 96 Müller 3. Ist die Sprengkraft der Informatik positiv oder negativ? Die Informatik ist weder in ihrem Gegenstand noch in ihren Methoden und Werkzeugen statisch. Der deutsche Name »Informatik« hat einen ganzheitlichen Anspruch. Man wollte nicht eine Disziplin schaffen, die sich eine ständig »wandelnde Maschine« zum Gegenstand der Forschung auserkor, sondern strebte, wie die anderen akademischen Disziplinen, die Erforschung eines eher dauerhaften Gegenstandes an, hier also die Information. Die pragmatische Vorgehensweise, vielfach »Sachzwänge« durch rasche, so bisher nirgends erfahrene Geschwindigkeit bei der Technikentwicklung und die Überlegenheit und wohl noch lange anhaltende Dominanz der amerikanischen »Computer Science«, ließen den ursprünglichen ganzheitlichen Anspruch der Informatik nie unumstritten zum Durchbruch kommen. Der praktische Teil der selbst dem Wandel unterliegenden akademischen Disziplin »Informatik« wird auch als die »Lehre von der Konstruktion von Systemen« bezeichnet, während die theoretische Informatik – wie die Mathematik – als strukturierend zu charakterisieren ist. Der erste programmierbare Rechner nach moderner Architektur wurde 1936 von Zuse in Berlin gebaut und erschloss den Zugang zu bisher in absehbaren Zeiträumen unberechenbaren wissenschaftlichen Problemen, wodurch ein Erkenntnisschub in vielen Bereichen ausgelöst wurde (Randell 1973). Wesentliche Theorien und Gestaltungsprinzipien für Rechner sind seit Turing und von Neumann unverändert. Wirksame und für die Gesellschaft relevante Veränderungen sind durch neue Materialien, verbesserte Fertigungstechniken, aber insbesondere durch eine dramatische Veränderung der Kostenrelationen entstanden, die aus dem wissenschaftlichen Instrument »Rechner« das Massenprodukt »PC« gemacht haben (Müller/Kohl/Schoder 1996). Dieser technische Fortschritt gehorcht seit ca. 30 Jahren dem Moore‘schen Gesetz. Dies ist kein Gesetz im wissenschaftlichen Sinne, sondern eine Faustregel. Danach verdoppeln sich alle 18 Monate die Leistungen der Prozessoren, der Speicher und seit einiger Zeit auch die Bandbreiten der Rechnernetze bei gleichbleibenden Preisen. Man schätzt, dass dieser Prozess bei einem möglichen Wechsel auf Quanten- und optische Technologien noch ca. zehn Jahre anhält. Bezüglich der Kostenrelationen bestimmt das Preisverhältnis von Technologie, Plattform und Schnittstelle das Entstehen neuer Rechnerklassen. In den achtziger Jahren war das Gesamtprodukt der Kosten aus Plattform, Technik und Nutzerschnittstelle bei den »Mainframes« etwa zehnmal teurer als bei den Arbeitsplatzrechnern. Eine neue Rechnerklasse, der »PC« entstand und die Computerindustrie veränderte sich revolutionär. Der PC erfährt seit dieser Zeit eine evolutionäre Entwicklung, wobei die Kostenstabilität bei der Technik durch ein erhebliches Kostenwachstum bei den Schnittstellen zu insgesamt wachsenden Gesamtkosten führt. Viele Fachleute sind der Überzeugung, dass deswegen die Tage des PCs gezählt seien und dass dieser durch mobile, vernetzte und langfristig sogar »allgegenwärtige« Rechner ersetzt werde. Historisch hat bisher etwa alle zehn bis 15 Jahre der KostenunterFreundesgabe Büllesbach 2002 Enthält die Informatik Sprengkraft für Regulierungssysteme? 97 schied in einem Teilfaktor den Betrag zehn überschritten. Proaktive Agenten, Miniaturisierung und spontane Vernetzung zeigen beispielhaft, wo diese neuen Anwendungen zu finden sind (Müller/Kreutzer 2001). Aus dieser Entwicklung heraus, sowohl in der Informatik selbst, als auch der Technik, sind Methoden entstanden, die entweder als strukturierend oder konstruierend zu klassifizieren sind. Positive bzw. negative Sprengkraftwirkung der Informatik sind vor allem durch die strukturierenden und konstruierenden Methoden der aktuellen akademischen Disziplin »Informatik« inklusive der »Bindestrich-Informatiken« gegeben. Die Synthese aus beiden Ansätzen ist selten, aber theoretisch möglich und erstrebenswert. Beispiele wären dann Systeme, die auch das tun, was der Entwickler will, dass sie tun sollen. Die Implementierung entspricht dann der Spezifikation und umgekehrt. Dies zu garantieren, ist bisher in der Informatik nur in einfachen Fällen erreicht und folglich sind auch die auf dem Markt verfügbaren Produkte mit erheblichen Unsicherheiten in ihrem Verhalten belastet. Strukturbildende Ansätze bestimmen die Forschungsziele der theoretischen Informatik. Am Beispiel der formalen Methoden seien Anspruch und Wirklichkeit skizziert. Es geht hier darum, auf einer höheren Abstraktionsebene durch Spezifikationen, die Implementierung durch ein mathematisches Kalkül zu überprüfen. Hier sind zweifellos erhebliche Fortschritte erzielt worden. Von einem Durchbruch der Verfahren, die einerseits den strengen formalen Anforderungen entsprechen, aber auch andererseits einen Anreiz für ihren Einsatz hinsichtlich wirtschaftlicher Kriterien bieten, kann noch nicht die Rede sein (Dijkstra 2001). Mathematische und damit strukturelle Inkonsistenzen können entdeckt werden, semantische Fehler sind formal nicht erfassbar. Konstruierende Ansätze bestimmen die dominanten Forschungs- und Entwicklungsformen der praktischen Informatik und der »BindestrichInformatiken«. Dabei werden insgesamt zwei Ziele angestrebt oder können voneinander unterschieden werden: Entweder werden Werkzeuge erstellt oder Werkzeuge zu Systemen integriert und damit hybride oder Mehrwertsysteme erzeugt. Erfolgs- und Beurteilungskriterien sind bei vorausgesetzter technischer Qualität und Originalität des Vorhabens dann letztlich wirtschaftlicher Natur und drücken sich weniger in den Kosten für die Erstellung des Informationssystems aus als in der Marktdurchdringung und den Fähigkeiten einen, wenn auch nicht unbedingt formalen Standard zu setzen, der in den Gremien von DIN und ISO entstanden ist. Fast alle wirtschaftlich relevanten Standards der IT kommen bisher aus den USA. In Europa sind mit dem Mobiltelefonnetz und der betriebswirtschaftlichen Software der SAP nur zwei Erfolgsfälle zu nennen. In Japan haben weder die Stärke der Industrie noch die erheblichen Regierungssubventionen zu nachhaltigen Standards in der Informationstechnik geführt. Alle technisch erfolgreichen Ansätze mussten früher oder später den Weltstandards weichen. Auch der überaus beliebte und erfolgreiche »I-mode« für den Internetzugang und zum Telefonieren wird wohl dem aus Nutzersicht schlechteren, diesmal europäischen UMTS-Standard Freundesgabe Büllesbach 2002 98 Müller weichen müssen. Die »Veränderung« der japanischen Informatikindustrie, die Folgen für die Beschäftigung, Zukunftsperspektiven und den Wohlstand der japanischen Gesellschaft sind eine direkte Folge des Mangels an Weltstandards. Leider ist es der Wissenschaft bisher nicht gelungen, im ganzheitlichen Sinne wirklich zwischen der »positiven« und »negativen« Sprengkraftwirkung der Informatik zu unterscheiden. Man muss eher sagen, dass dadurch die Interessengegensätze deutlich wurden und »was dem einen sin Uhl, ist dem anderen noch lange nicht sin Nachtigall«. Im technischen Sinne kann negative Arbeit von effizienter Arbeit durch Kriterien der Wirtschaftlichkeit und Qualität unterschieden werden. Gesellschaftlich bleibt wohl nur der Markt. Lediglich hier haben sich die Fehlentwicklungen in allen praktischen akademischen Disziplinen in demokratischen Gesellschaften bisher als selbstkorrigierend erwiesen. Im positiven Sinne bildet die Sprengkraft der Informationstechnik die Grundlage für die Erneuerung der Gesellschaft und ihrer Institutionen. 4. Wie man bisher die Sprengkraft der Informatik bändigen wollte? Technik ist schon seit dem 18ten Jahrhundert ein Gegenstand akademischer Betrachtungen. »Technik und Gesellschaft«, »Geschichte der Technik«, »Techniksoziologie«, »Technikrecht« sind nur eine Auswahl von Bezeichnungen für etablierte Fächer, die sich mit Technik befassen. Es geht fast immer darum, abstrakt die Natur oder die Entwicklung einer oder der Technik generell zu beschreiben. Die übergeordnete Forschungsfrage lautet: »Ist Technik letztlich nur ein komplexes Werkzeug oder ist die Qualität der Technik nicht insgesamt mehr als die Summe seiner Bestandteile?« Für viele Sozialwissenschaften ist die Technik ein Faktor, der meist im Sinne von Produktivitätsfortschritt gemessen wird und in die Planungen als fester Koeffizient einer wie auch immer gearteten und erfassten Technikvariablen eingeht. Die Informatik hat einen universellen Anspruch und ist in ihrem Einfluss daher nicht mit Methoden messbar, die für die »spezialisierte« Technik, z.B. eine Werkzeugmaschine gilt. Die Informatik ist und wird zunehmend zu einer Querschnitts- und damit Kulturdisziplin. Eine »Black Box« Betrachtung, die für die »spezialisierte Technik« angemessen ist, reicht dann nicht aus, um die Erwartungen der Gesellschaft, aber auch der Disziplin »Informatik« selbst zu erfüllen. Es lassen sich vier Klassifikationen der aktuellen Forschungsorientierungen erkennen, die sich mit den Folgen der »Informatik« befassen: a) Hierarchischer Lenkungsansatz: Ausgehend von der Grundannahme, dass ein von der gesamten Gesellschaft anerkanntes festes Wertesystem existiere, wird gefolgert, dass die nachfolgenden Entscheidungen daraus rational abgeleitet werden können. Existierende Verfahren und Techniken der Informatik können so bzgl. ihrer gesellschaftlichen Wirksamkeit beurteilt werden und unter Einsatz neuer Erkenntnisse in überschaubaren Freundesgabe Büllesbach 2002 Enthält die Informatik Sprengkraft für Regulierungssysteme? 99 Schritten verbessert werden. Die Annahme, dass sich immer die »beste« Technik durchsetzt, ist jedoch durch die Wirklichkeit nicht gedeckt. Es ist davon auszugehen, dass u.a. Marktversagen häufig auftritt und sich in der Vergangenheit eher das »Zweit-« als das »Erstbeste« durchgesetzt hat, wodurch für die Gesellschaft insgesamt ein beträchtlicher Schaden entstand. b) Normativer Ansatz: Die Annahme dieser Forschungsorientierung ist es, dass die Technik unabhängig von einem gesellschaftlichen Wertesystem ungeplant entstehe und die Gesellschaft »bottom-up« beeinflusst. Es ist bei dieser Ansicht konsequent und notwendig, dass man wie bei Aschenputtel die »Guten« von den »Schlechten« schon vor der gesellschaftlichen Umsetzung trennt. Diese Richtung geht davon aus, dass es in jeder Gesellschaft möglich ist, unabhängig von der Technikgenese das gesellschaftlich überlegene Wertesystem zu identifizieren und daraus dann die Entscheidungen für die Technikentwicklung, u. a. der hier besonders betrachteten Informatik oder Informationstechnik abzuleiten und innerhalb eines Diskurses dann auch durchzusetzen. c) Technikfolgenabschätzung: Man bewertet nicht die Wissenschaft und geht auch nicht mehr von einem überlegenen Wertesystem aus, sondern analysiert die Folgen einer möglichen Umsetzung für die aktuell existierende Gesellschaft. Die Ergebnisse sind immer Gegenstand heftiger Kontroversen und haben in der USA 1992 zur Schließung des »Office of Technology Assessment« geführt. Auch in Deutschland sind nicht alle »Blütenträume« gereift, die mit der Technikfolgenabschätzung verbunden waren. Grundsätzlich und potentiell hilfreich war die Entdeckung der Bedeutung von Diskursen, die zu wichtiger Transparenz beitragen können. Ein Beispiel für einen Erfolg dieses Ansatzes könnte die in Deutschland schon frühzeitig geforderte ergonomische Gestaltung von Bildschirmen sein, als man dies in den USA noch für unnötig hielt. Fairerweise muss man sagen, dass diese Erkenntnisse nicht das Ergebnis eines formalen »Technikfolgenverfahrens« waren. Das wohl nicht überwindbare methodische Defizit der Technikfolgenabschätzung liegt darin, dass sie bisher eher »reaktiv« und nicht »aktiv« gestaltend aufgetreten ist. d) Top-Down-Ansatz: Jeder Technikentwicklung geht die Erstellung von Anforderungen voraus. Wenn diese Anforderungen nicht nur als Fortschreibung der Kennziffern der Technik und damit des Ausgangssystems selbst verstanden, sondern zusätzlich aus dem Objektbereich abgeleitet werden, für den diese Technik primär bestimmt ist, dann spricht man von einem »Top-Down«-Ansatz. Dieser kann den üblichen »Bottom-up«-Ansatz der herkömmlichen Technikentwicklung komplettieren, nicht jedoch ersetzen. In Unternehmungen ist diese Vorgehensweise üblich und Unternehmensberatungsfirmen haben teilweise Verfahren mit akademischem Anspruch entwickelt, wie für eine Betriebswirtschaft Defizite in der Technikentwicklung oder dem Technikvorrat entdeckt und bei Bedarf konstruktiv korrigiert werden können. Jeder der oben genannten Ansätze wird praktiziert, um die SprengkraftwirFreundesgabe Büllesbach 2002 100 Müller kung der Informatik zu kontrollieren und ggf. einzudämmen. Man erkennt in allen vier Ansätzen den konservativen Charakter der Herangehensweise und würde sich wünschen, dass die positiven Seiten einer Sprengkraft auch mit ähnlichem Aufwand erforscht werden, bzw. in der durch die Informatik tangierten Disziplinen beachtet würden, um so ihre Wirkung verstärken zu können. Nur beim Top-Down-Ansatz hat der Versuch, über die Beschreibung zur Erklärung und zur Prognose und bei Bedarf zur Gestaltung zu gelangen, Aussicht auf Erfolg, die positive Sprengkraftwirkung zu verstärken. Gemein sam mit dem in diesem Band geehrten Kollegen Alfred Büllesbach, hat der Autor diese Form der Herangehensweise in einem Projekt bei der Gottlieb-Daimlerund Karl-Benz-Stiftung in Ladenburg von 1993 bis 1999 entwickelt und bezogen auf die Sicherheit exemplarisch durchgeführt. 5. Sprengkraft wird zur Gestaltungskraft: Der Top-Down-Ansatz im Projekt »Mehrseitige Sicherheit« Das Projekt »Mehrseitige Sicherheit in der Kommunikationstechnik« hatte inhaltlich zum Ziel, Modelle und Verfahren zu identifizieren, damit Nutzer moderner Kommunikationstechnik eigenbestimmt in die Lage versetzt werden können, die Kontrolle über ihre Daten in einem weltweiten Kommunikationsnetz zu wahren. Es konnten Defizite im technischen (Müller/ Pfitzmann 1997), wirtschaftlichen (Müller/Rannenberg 1999) und gesellschaftlichen Bereich (Müller/Stapf 1998) aufgedeckt werden und unter Anwendung der jeweiligen fachspezifischen wissenschaftlichen Methode zumindest exemplarisch geeignete Lösungsansätze gezeigt werden. Die Vorgehensweise erfolgte schrittweise unter ständiger Verfeinerung der im vorigen Schritt erzielten Ergebnisse. Drei in ihren Anforderungen unterschiedliche Erkenntnisbereiche wurden identifiziert (Müller/Kohl/Strauss 1996): a) Die technischen Möglichkeiten und Gestaltungspotentiale (Telekommunikationsinfrastruktur), b) die Aufbereitung und Präsentation der Wissensinhalte (Wissensinfrastruktur), c) sowie die sozialen Normen und Gesetze (Handlungsinfrastruktur). Sicherheit ist eine reaktive Technologie und folgt dem sonstigen technischen Fortschritt. Die Gleichheit der technischen und gesellschaftlichen Paradigmen verdeutlichte die gemeinsame Verankerung der Denkwelten, aber primär diente sie jedoch der Kommunikationsverbesserung zwischen den Disziplinen. Folgende Paradigmen bei der Technikgestaltung wurden unterschieden (Müller/Eggs 2001): a) Das Mittelalter-Paradigma der Vergangenheit Der Schutz vertrauenswürdiger Daten ist gleichbedeutend mit der Zugangskontrolle zu abgegrenzten und identifizierbaren Orten. Eine solche Vorstellung liegt den Grundlagen des »Datenschutzes«, aber auch der Abgrenzung von »Innen« und »Außen« durch Schutzmauern (FireFreundesgabe Büllesbach 2002 Enthält die Informatik Sprengkraft für Regulierungssysteme? 101 walls) zugrunde. Obwohl der Datenschutz auf der Handlungsebene schon in den 70iger Jahren erheblich mehr Paradigmen hatte, konnten andere als die Zugangskontrolle technisch bisher nicht realisiert werden. b) Das Internet-Paradigma der Gegenwart Dieses geht von einer dezentralen Datenhaltung von den Nutzern nicht nachvollziehbaren Orten aus. Die Identifizierung bzw. deren Verweigerung ist das wesentliche Forschungsziel und führte zur Definition der Konzepte der »Mehrseitigen Sicherheit«. c) Das Allgegenwärtigkeits-Paradigma der Zukunft Dieses geht von der Vision aus, dass Rechner durch Miniaturisierung allgegenwärtig werden, spontan, d.h. ohne spezifischen Auftrag des Menschen handeln und nicht mehr als Zugang zu Kommunikationsnetzen wahrgenommen werden, sondern ein Teil der Umwelt eines Menschen sind. Privatheit wird dann zum gefährdeten Gut. Technische Forschungsziele von »Informatik und Gesellschaft« sind dann z.B. die Erstellung von grundsätzlich anonymen Infrastrukturen (Müller/Kreutzer 2001). Sicherheit sollte ein integraler Bestandteil jeder Kommunikation sein, was bedingt, dass Sicherheit keine nachträglich aufgesetzte Technik ist, sondern als bestimmender Bestandteil der Kommunikation zwischen Menschen aufgefasst wird. Für die Sicherheit in technischen Systemen wurden die folgenden Forderungen erhoben und dienten für die Technikgestaltung als Richtschnur: 1. Jeder hat individuelle Sicherheitsinteressen; 2. alle sollen diese Sicherheitsinteressen eindeutig formulieren können; 3. Konflikte sollen erkannt werden und aushandelbar sein; 4. die ausgehandelten Ergebnisse sollen verlässlich durchsetzbar sein. Im spezifischen Fall der mehrseitigen Sicherheit konnten durch die strikte Anwendung des Top-Down-Ansatzes Defizite im Bereich der Schutzziele der Sicherheit (Müller/Kohl/Schoder 1996) entdeckt und für die Anonymität und Pseudonymität neue Verfahren entwickelt werden (Müller/Rannenberg 1999). Die Transparenz der Situation des Einzelnen wurde am Beispiel eines verhandlungsfähigen Erreichbarkeitsmanagers praktisch gezeigt (Damker/ Reichenbach/Müller 1998) und real in der Universitätsklinik Heidelberg erprobt (Roßnagel/Haux/Herzog 1999). Über die DIN (Deutsche Industrienorm) sind die Schutzziele zum Bestandteil der ISO-Normierung geworden, und der Gedanke der »Mehrseitigkeit« fand seinen Niederschlag in der Gesetzgebung zur Digitalen Signatur (Müller/Rannenberg 1999). Die Verfahren zur Anonymität und zur Pseudonymität bilden neben anderen die wissenschaftlichtechnischen Grundlagen für die aktuell anstehende Revision des Datenschutzgesetzes. 6. Die Informatik erweitert ihren »Kampfplatz« Die Überlegungen zur Sprengkraft der »Informatik« wären jedoch unvollständig, bezögen sie nicht auch die Potentiale des Internet in die Betrachtung mit Freundesgabe Büllesbach 2002 102 Müller ein. Neue Ergebnisse der Informatik, die Einfluss auf die Gesellschaft haben, geschehen mittlerweile auch weltweit im Netz durch spontane, Ad-hocKooperationen. Sie umgehen damit einerseits die akademischen Institutionen und andererseits auch alle Institutionen aus Wirtschaft, Gesetzgebung und Politik. So entstand bspw. Linux durch die Zusammenarbeit von nahezu 750.000 Programmierern weltweit, die einerseits die Monopolstellung eines Herstellers verhindern wollen und andererseits wohl auch einen bisher unbekannten – man ist geneigt, zu sagen unakademischen – Weg für die zukünftige Erstellung von Informationssystemen aufzuzeigen. Die Offenheit und die freie Verfügbarkeit (Open Source) der Software haben alle Schritte einer Realwissenschaft inklusive der Gestaltung beispielhaft und mit unvorhersehbarem Erfolg und damit Sprengkraft demonstriert. So entstehen z.B. Chancen für die Evaluierung von Software und damit von Sicherheit, die zwar traditionell akademisch mit technisch gutem Erfolg, aber mit wenig Durchsetzungskraft für die realen Informationssysteme angegangen werden konnten. Die Gefahr für die Monopolstellung von Microsoft kann in diesem doch eher basisdemokratischen Zusammenfinden der Linux-Programmierer gesehen werden. Linux ist nur ein Beispiel, Sicherheit durch PGP (Pretty Good Privacy) ist ein anderes, ja selbst das Wachstum von Microsoft ist ohne die Ungeduld mit dem Angebot, damals der IBM, nicht denkbar gewesen. All diese und zahlreiche andere Korrekturen herrschender, scheinbar festgefügter und unveränderlicher Verhältnisse geschahen im Zeitraum von weniger als zehn Jahren. Dem Anlass des Aufsatzes und dem Lebensabschnitt des Adressaten angemessen, möchte ich mit Goethe schließen und der Informatik sowie der Gesellschaft Gelassenheit wünschen, denn ein wenig Sprengkraft macht schon Spaß: Solange Du das nicht hast, dieses Stirb und Werde, bist Du nur ein trüber Gast auf dieser Erde. Literatur: Damker, H. Reichenbach, M., Müller, G. (1998): Personal Reachability Management in a Networked World, in: Proceedings of IWNA98; IEEE Workshop on Networked Appliances, Kyoto, Japan, November 1998. Dijkstra: E. W. (2001): The End of Computing Science? In: Communications of the ACM, Vol. 44, No. 3 March 2001), p. 92. Mansell, R., Steinmüller, W. E. (2001): Mobilizing the Information Society, Oxford University Press, 2001. Mittelstraß, J. (1996): The modern World and the Humanities, in: Interdisciplinary Science Reviews, Vol. 21, Nr. 4, 12,1996, pp. 284 – 291. Müller, G. (1996): Trust in Technology or Trust with Technology, in: Interdisciplinary Science Reviews, Vol. 21, Nr. 4, 12, 1996, pp. 336 – 347. Freundesgabe Büllesbach 2002 Enthält die Informatik Sprengkraft für Regulierungssysteme? 103 Müller, G., Kohl, U., Strauss, R. (1996): Zukunftsperspektiven der digitalen Vernetzung, dpunkt Heidelberg, 1996. Müller, G., Kohl, U., Schoder, D. (1997): Unternehmenskommunikation: Telematiksysteme für vernetzte Unternehmen, Addison-Wesley, Bonn 1997. Müller, G., Pfitzmann, A. (1997): Mehrseitige Sicherheit in der Kommunikationstechnik, Band 1: Technik-Verfahren, Addison-Wesley, Bonn, 1997. Müller, G., Stapf, K. (1998): Mehrseitige Sicherheit in der Kommunikationstechnik, Band 2: Mensch – Akzeptanz – Nutzbarkeit, Addison-Wesley, Bonn, 1998. Müller, G., Rannenberg, K. (1999): Multilateral Security in Communications, Volume 3: Technology, Infrastructure, Economy, 1999. Müller, G. (2001): Informatik und Gesellschaft – nützlich und wichtig, aber auch akademisch, in. FIFF 4/2001, Dezember 2001, S. 29 – 35. Müller, G., Eggs, H. (2001): Sicherheit und Vertrauen: Mehrwert im E-Commerce, in: Müller, G., Reichenbach, M. (Hrsg.): Sicherheitskonzepte für das Internet, S. 27 – 44, Springer, Heidelberg 2001. Müller, G., Kreutzer, M., Zugenmaier A. (2001): Location Addressing: Technical Paradigm for Privacy and Security in a Ubiquitous World, Hitachi Research Report, Tokyo, 8/2001. Randell, B. (ed) (1973): The origins of Digital Computers, Springer 1973. Roßnagel, A., Haux, R., Herzog, W. (1999): Mobile und sichere Kommunikation im Gesundheitswesen, Vieweg, DUD Fachbücher, 1999. Schoder, D., Müller, G. (1999): Potentiale und Hürden des Electronic Commerce. Eine Momentaufnahme, in: Informatik Spektrum, Band 22, Heft 4, August 1999, S. 252 – 260. Freundesgabe Büllesbach 2002 104 Freundesgabe Büllesbach 2002 105 3. DER DATENSCHUTZ AUF DEM WEG IN DIE MARKTWIRTSCHAFT Helmut Bäumler Marktwirtschaftlicher Datenschutz 1. Die ordnungsrechtlichen Wurzeln Der real existierende Datenschutz in Deutschland erscheint wie eine besondere Ausprägung des Ordnungsrechts. Seine Regeln sind zu beachten, so wie Straßenverkehrszeichen oder Umweltstandards auch. Niemand tut das besonders gerne, aber man fügt sich, zumeist zähneknirschend, den Notwendigkeiten. Nicht immer, aber zumindest dann, wenn die Nichtbeachtung der Vorschriften empfindliche Nachteile verursachen könnte. Gerade so wie im Straßenverkehr, wo Geschwindigkeitsbeschränkungen nur selten penibel eingehalten werden, solange keine Polizei in Sicht ist oder im Verkehrsfunk nicht vor Radarfallen gewarnt wird. Die »Polizei« im Datenschutz, das sind die Datenschutzbeauftragten und die Datenschutzaufsichtsbehörden. Sie sollen durch ihre Kontrollen die Einhaltung des Datenschutzrechts durchsetzen. Sie können zwar nur sehr eingeschränkt Strafen verhängen, aber ihre Kontroll- und Tätigkeitsberichte können sich durchaus nachteilig für das Image eines Unternehmens oder einer Behörde auswirken. Keine Firma kann ein Interesse daran haben, von der Datenschutzaufsicht öffentlich gerügt zu werden. Deshalb arrangiert man sich, so gut es eben geht. Allerdings ist angesichts der personellen und sächlichen, insbesondere auch technischen, Ausstattung der Aufsichtsbehörden das Risiko für Firmen relativ gering, tatsächlich einmal intensiv datenschutzrechtlich kontrolliert zu werden. Da ist es, um im Bild zu bleiben, viel wahrscheinlicher, dass man von der Polizei im Straßenverkehr angehalten oder von einem Radargerät erfasst wird. Aber ganz ausschließen kann man es eben nicht, zumal die Aufsichtsbehörden den Beschwerden von Kunden immer nachgehen. So hat sich allmählich bei vielen Wirtschaftsunternehmen ein Bild festgesetzt, in dem der Datenschutz eine lästige Pflicht ist, die man nicht so richtig ernst nimmt, aber tunlichst auch nicht völlig vernachlässigen kann. Ein unangenehmes Thema eben, bei dem es nichts zu holen gibt, aber bei dem immer mit Unannehmlichkeiten zu rechnen ist. Was hätte man davon, wenn man sich korrekt oder besonders datenschutzfreundlich verhielte? Im derzeitigen Datenschutzsystem ehrlich gesagt nicht allzu viel. Es ist an Kritik und Beanstandung orientiert, bereit, sich mit den Uneinsichtigen auseinander zu setzen, aber es hält für die Vorbildlichen keine Anreize parat. Ein entscheidender Webfehler, denn in einem marktwirtschaftlichen System fragen die Unternehmen zuallererst nach ihrem Vorteil. Dass hier der Datenschutz derzeit mehr oder weniger Fehlanzeige melden muss, bleibt nicht ohne Folgen für seine Durchsetzung in der Praxis. Freundesgabe Büllesbach 2002 106 Bäumler Und die Betroffenen, die Bürgerinnen und Bürger, bzw. im Wirtschaftsbereich die Kundinnen und Kunden? Sie spielen bislang eher eine Rolle am Rande. Gewiss, das Datenschutzrecht gibt ihnen Auskunfts- und Benachrichtigungsrechte, spricht vom Anspruch auf Berichtigung, Sperrung oder Löschung von Daten. Aber das sind eher die außergewöhnlichen Fälle. Im Alltag der Datenverarbeitung sind die Kunden vornehmlich das Objekt. Viele in der Wirtschaft können sich den Kunden offenbar in erster Linie nur als denjenigen vorstellen, den es »elegant« zu umgehen gilt, um hinter seinem Rücken mit seinen Daten Geschäfte zu machen. Der Gesetzgeber begünstigt im bestehenden Datenschutzrecht dieses Weltbild. Statt präziser Schutzbestimmungen beherrschen im Bundesdatenschutzgesetz dehnbare Generalklauseln das Geschehen (Weichert 2002, 27). Statt der Notwendigkeit, sich der Einwilligung des Betroffenen vor Beginn der Verarbeitung zu versichern, erlegt es das Gesetz den Kunden auf, ihre Daten zu hüten und zu widersprechen, wenn sie mit deren Verarbeitung nicht einverstanden sind. Verkehrte Welt: Wer sich nicht wehrt, dem geschieht offenbar »recht«, wenn sich andere mithilfe seiner Daten bereichern (Beispiele bei Petri 2002, S. 64). Kaum irgendwo im bestehenden Datenschutzrecht sind echte Wahl- und Mitbestimmungsmöglichkeiten der Kunden etabliert, wenn es um den Schutz ihrer personenbezogenen Daten geht. Wir wissen zwar aus Umfragen ziemlich zuverlässig, dass den Kunden der Datenschutz sehr wichtig ist, aber niemand kann einschätzen, ob damit auch das gegenwärtige Datenschutzsystem uneingeschränkte Zustimmung findet (Opaschowski 2002, S. 13, Müller 2002, S. 20). Im »ordnungsbehördlichen« Datenschutz kommt es allerdings auf die Erwartungen der »Kunden« ohnehin nicht wirklich an. Hier wird in erster Linie auf Gesetzesvollzug geachtet, nicht auf Kundenwünsche. 2. Die Attraktivität eines marktwirtschaftlichen Ansatzes Würden im Datenschutz mehr marktwirtschaftliche Elemente berücksichtigt, so ließen sich einige der Defizite beseitigen. Dies müsste nicht zwangsläufig mit einer Preisgabe der ordnungsrechtlichen Ansätze einhergehen. Aufsicht und Kontrolle, Kritik und Beanstandung hätten auch weiterhin ihren Platz und ihre Funktion. Aber es könnte etwas hinzukommen, was die datenschutzrechtlichen Handlungsoptionen beträchtlich erweitert. Was spricht im Einzelnen dafür, in den Datenschutz marktwirtschaftliche Instrumente zu integrieren? Zunächst einmal ist es wichtig, dass auf diesem Wege Anreize für datenschutzgerechtes, möglicherweise sogar vorbildliches Verhalten geschaffen werden könnten. Es würde etwas bringen, sich positiv mit dem Thema Datenschutz auseinander zu setzen und zu versuchen, daraus einen Vorteil für das Unternehmen zu gewinnen. An die Stelle der Erfüllung der gesetzlichen Pflichten »rite« träte das Bestreben, es »besser« als die Konkurrenz zu machen. Da einer der entscheidenden Vorteile die Stärkung des Kundenvertrauens wäre, müsste das Thema gegenüber den Kunden ganz anders Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz 107 kommuniziert werden. Statt kaum verständlicher Ausführungen in den Allgemeinen Geschäftsbedingungen bräuchte man gut lesbare Texte im Stil der Werbebranche. Man würde ja zeigen wollen, dass man beim Thema Datenschutz besser ist als die Konkurrenz und man hätte größtes Interesse daran, davon auch das Publikum zu überzeugen (Büllesbach 2002, S. 45). Der Wandel von der lästigen Pflicht zur Erfolg versprechenden Kür bliebe auch nicht ohne Konsequenzen für Stellung und Prestige der betrieblichen Datenschutzbeauftragten. Sie würden von lästigen Mahnern zu gefragten Experten avancieren. Denn von ihrer Fachkenntnis könnte der Betrieb ja buchstäblich profitieren. Dies würde sich auch in den Auswahlentscheidungen bei der Bestellung der betrieblichen Datenschutzbeauftragten niederschlagen. Man würde Wert auf möglichst kompetente, dynamische Personen legen, weil man damit rechnen muss, dass sich auch die Konkurrenz personell gut ausstattet. Die Steigerung der Attraktivität der Stellung des betrieblichen Datenschutzbeauftragten würde natürlich auch die Bewerberlage um diese Position verbessern. Ein stärker marktwirtschaftliches Datenschutzmodell böte für die Unternehmen einen Anreiz, nicht nur personell in diesen Bereich zu investieren, sondern auch hinsichtlich der finanziellen und technischen Ausstattung. Betriebliche Datenschutzbeauftragte wären also zuallererst »Gewinner« solcher Veränderungen und müssten deshalb ein Interesse daran haben, sie zu befördern. (Um so unverständlicher, dass einige betriebliche Datenschutzbeauftragte dem Audit zunächst skeptisch gegenüberstanden, vgl. z. B. H.-L. Drews / H. J. Kranz, DuD 1988, 93.) Und die Kunden? Sie würden von den Unternehmen mit einem verbesserten Datenschutzangebot umworben. Sie könnten mit ihren Kauf- und Konsumentscheidungen zeigen, welche Art von Datenschutz sie bevorzugen und ob sie ggf. dafür auch etwas zu bezahlen bereit sind (Büllesbach 1997, S. 239). Sie müssten sich übrigens keineswegs blind auf die (Datenschutz-) Versprechungen der Unternehmen verlassen. Da die bestehenden Kontrollinstrumente nicht abgeschafft werden sollen, könnten sie bei Zweifeln an der Korrektheit der Datenverarbeitung jederzeit die Aufsichtsbehörden einschalten. Würden die Unternehmen tatsächlich offensiv mit ihrem Datenschutzangebot werben, würden die Kunden auf dieses Thema ganz anders als bisher aufmerksam gemacht. Wer von sich behauptet, er sei in Datenschutzfragen Spitze, provoziert geradezu die kritischen Nachfragen des Publikums, ob dies tatsächlich rundherum zutreffend ist. Die Aufmerksamkeit der Kunden würde die Effizienz der Datenschutzaufsicht erhöhen. Mehr Kontrolle durch mehr Marktwirtschaft klingt nur auf den ersten Blick paradox. Funktionierende offene Märkte bieten dem Kunden stets die Möglichkeit der kritischen Auswahl und erweisen sich letztlich als eine der Demokratie artverwandte Wirtschaftsform. Freundesgabe Büllesbach 2002 108 Bäumler 3. Wege zu mehr Marktwirtschaft im Datenschutz Leider ist es bis zur Realisierung marktwirtschaftlicher Prinzipien im Datenschutz noch ein weiter Weg. Die bisherigen Novellierungen des BDSG haben in erster Linie den ordnungsbehördlichen Ansatz verfeinert. Immerhin lässt das BDSG nunmehr Zielvereinbarungen zu und hält mit den Bestimmungen zu Unternehmensrichtlinien und zu branchenspezifischen Verhaltensregeln eine kleine Option in Richtung Wettbewerb bereit (Petri 2002, 142). Auch die Bestimmungen zur Transparenz der Datenverarbeitung, in erster Linie die Informations- und Unterrichtungspflichten, lassen sich als eine wichtige Voraussetzung für mehr marktwirtschaftliche Elemente interpretieren (Bizer 2002, 125). Aber im Großen und Ganzen muss auf die angekündigte zweite Stufe der BDSG-Novellierung gewartet werden (Roßnagel 2002, 115). Nur wenige in der Wirtschaft haben bereits jetzt erkannt, dass ein gutes Datenschutzkonzept ein Vorteil für ein Wirtschaftsunternehmen sein kann (allen voran Büllesbach 1997, S. 239; ders. 1999, S. 162; ders. 2000, S. 1; ders. 2002, S. 45). Ein wichtiger Baustein für mehr Marktwirtschaft sind Audit und Gütesiegel. Sie erleichtern es, die Einhaltung datenschutzrechtlicher Standards sichtbar zu machen und sind damit eine Voraussetzung für den Wettbewerb um gute Datenschutzkonzepte. Audits zielen auf die Organisation des Datenschutzes in einem Betrieb oder in einer Behörde (Grundlegend Roßnagel 2000), während Gütesiegel zur Kennzeichnung von Produkten verwendet werden können. Der Bundesgesetzgeber hat beide Instrumente unter der einheitlichen Bezeichnung Datenschutzaudit wenigstens in § 9 a BDSG angesprochen und dem Grunde nach »eingeführt«. Allerdings verweist § 9 a Abs. 2 BDSG auf die Erforderlichkeit eines »besonderen Gesetzes«, in dem Auswahl und Zulassung der Gutachter sowie die näheren Anforderungen an die Prüfung und Bewertung und das Verfahren geregelt werden sollen. Nach den Erfahrungen mit § 17 Mediendienstestaatsvertrag, der eine eben solche Ankündigungsnorm darstellt, die auch fünf Jahre nach ihrem In-Kraft-Treten noch nicht ansatzweise umgesetzt ist, wird sich der Wert von § 9 a BDSG daran messen lassen müssen, wie schnell seine gesetzgeberische Ergänzung und damit praktische Verwirklichung gelingt. 4. Audit und Gütesiegel nach schleswig-holsteinischem Recht Abschließende Regelungen zum Audit und zum Gütesiegel hat auf gesetzlicher Ebene bislang nur das Land Schleswig-Holstein getroffen. Dies ist insofern nicht gerade ein optimaler Ansatz, als marktwirtschaftliche Elemente im Zeitalter globaler Märkte eigentlich auf breiter Ebene, zumindest in ganz Deutschland, besser noch europaweit und am besten im Weltmaßstab eingeführt werden müssten. Das Land besitzt für den Datenschutz im nichtöffentlichen Bereich auch keine Gesetzgebungskompetenz, sodass nur solche Regelungen möglich waren, die am öffentlichen Sektor anknüpfen konnten Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz 109 (zum Audit im privatwirtschaftlichen Bereich P. Wedde und L. Schröder 2001). 4.1 Datenschutzaudit Am deutlichsten wird dies beim Audit, das nur für öffentliche Stellen in Schleswig-Holstein durchgeführt werden kann. Gleichwohl hat es Auswirkungen auch auf die marktwirtschaftliche Neuorientierung des Datenschutzes zumindest unter drei Gesichtspunkten: – Letztlich ist das Audit auch bei öffentlichen Stellen ein Mittel, um zu mehr Wettbewerb zwischen den Behörden um den besten (Datenschutz-) Kundenservice zu kommen (v. Mutius 2002, S. 81). – Bei der Durchführung von Audits kann es sich als vorteilhaft erweisen, wenn in den Behörden bereits Produkte verwendet werden, die mit einem Datenschutz-Gütesiegel ausgezeichnet sind. Dies wird für die Nachfrage nach solchen Produkten förderlich sein. – Schließlich können nach den schleswig-holsteinischen Auditvorschriften nicht nur Behörden oder Behördenteile auditiert werden, sondern auch einzelne behördliche Datenverarbeitungsverfahren (Golembiewski 2002, S. 107). Diese werden in der Praxis häufig mit privaten Firmen gemeinsam entwickelt. Die Auditbestimmungen stellen es den Firmen frei, ob sie mit dem Audit für das Produkt bei anderen öffentlichen Stellen Werbung machen wollen. So erweist sich, dass das eigentlich nur für die schleswig-holsteinischen Behörden eingeführte Datenschutzaudit auch Impulse für den privatwirtschaftlichen Bereich geben kann. 4.2 IT-Gütesiegel Am unmittelbarsten sind die marktwirtschaftlichen Effekte aber bei den ITGütesiegeln. Ausgangspunkt der schleswig-holsteinischen Regelungen ist § 4 Abs. 2 LDSG, wonach in der schleswig-holsteinischen Verwaltung solche Produkte vorrangig eingesetzt werden sollen, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurde. Ähnliche Bestimmungen finden sich auch in anderen Datenschutzgesetzen. (vgl. z. B. § 5 Abs. 2 des neuen LDSG Mecklenburg-Vorpommern sowie § 4 Abs. 2 LDSG Nordrhein-Westfalen). § 4 Abs. 2, S. 2 LDSG-SH geht aber den entscheidenden Schritt weiter und ermächtigt die Landesregierung, durch Verordnung Inhalt, Ausgestaltung und Berechtigung zur Durchführung des Verfahrens zu regeln. Dies hat die Landesregierung inzwischen getan (Landesverordnung über ein Datenschutzaudit v. 3. 4. 2001, GVBl Nr. 4, S. 51). Die Verordnung zum IT-Gütesiegel ist sehr knapp gehalten, sodass das Unabhängige Landeszentrum für Datenschutz im Nachgang eine Reihe von Durchführungsbestimmungen erlassen musste Freundesgabe Büllesbach 2002 110 Bäumler (Einzelheiten unter www.datenschutzzentrum.de/guetesiegel/). Inzwischen sind die ersten Gutachter akkreditiert und einige Gütesiegelverfahren haben bereits begonnen. Dem Verfahren liegt folgendes Modell zugrunde (Ausführlich zum Verfahren Diek 2002, S. 157): Hersteller und Vertreiber können ein IT-Produkt dann zertifizieren lassen, wenn es für den Einsatz in der schleswig-holsteinischen Verwaltung geeignet ist. Es kommt nicht darauf an, dass das Produkt bereits eingesetzt wird, noch nicht einmal, dass eine konkrete Absicht dazu besteht. Dadurch soll der Anwendungsbereich des Gütesiegels nicht von vornherein unnötig eingeengt werden. Den Hauptteil des Verfahrens führen die beim ULD akkreditierten Gutachter durch. Hersteller oder Anbieter von IT-Produkten schließen mit einem Gutachter ihrer Wahl einen Vertrag über die Zertifizierung des Produktes ab. Dabei legt der Gutachter die Kriterien zugrunde, die das ULD inzwischen veröffentlicht hat (www.datenschutzzentrum.de/guetesiegel/). Der Gutachter fasst seine Ergebnisse in einem Gutachten zusammen, das er dem ULD zur Entscheidung über die Erteilung des Gütesiegels übersendet. Die Vergabe des Gütesiegels wurde bewusst dem ULD als einer öffentlichen Stelle übertragen, weil man davon ausging, dass dies der Akzeptanz des Siegels förderlich sein würde. Denn das ULD ist am Wettbewerb nicht beteiligt und bietet die Gewähr für eine objektive, ausschließlich an datenschutzrechtlichen Gesichtspunkten orientierte Entscheidung. Das IT-Gütesiegel wird für die Dauer von zwei Jahren verliehen und durch das ULD zusammen mit einem Kurzgutachten, in dem die Gründe für die Siegelerteilung zusammengefasst sind, publik gemacht. Dadurch soll es den Nutzern des jeweiligen Produkts leichter gemacht werden, zu überprüfen, ob es im praktischen Einsatz tatsächlich die erwünschten Eigenschaften hat. Die Transparenz gegenüber den Kunden und die Möglichkeit, ihre Rückmeldungen zu berücksichtigen, sind wichtige Elemente des schleswig-holsteinischen Gütesiegelmodells. Die Kriterien, nach denen ein Gütesiegel erteilt werden kann, zielen in erster Linie auf eine Unterstützung der Datenschutzziele durch die Technik ab (M. Hansen und T. Probst 2002, S. 163). § 2 Abs. 2 Nr. 4 der Gütesiegelverordnung spricht davon, das Produkt müsse »besondere Eigenschaften« in dieser Richtung aufweisen. Weiter wird ausgeführt, dass es dabei insbesondere um die Datenvermeidung und Datensparsamkeit, um die Datensicherheit und die Revisionsfähigkeit sowie um die Gewährleistung der Rechte der Betroffenen geht. Vor allem die technische Umsetzung dieser Kriterien ist der wesentliche Gesichtspunkt bei der Zertifizierung von IT-Produkten. Einzelne Defizite können durchaus durch organisatorische Maßnahmen ausgeglichen werden, die wiederum verständlich beschrieben und mit angemessenem Aufwand umsetzbar sein müssen. Maßgeblich ist bei der Zertifizierung auch, zu welchem Zweck das Produkt eingesetzt werden soll. Deshalb spielen die sich aus dem vorgesehenen Zweck ergebenden rechtlichen Anforderungen bei der Zertifizierung eine wichtige Rolle. Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz 111 Das ULD prüft die Produkte im Regelfall nicht selbst nach, sondern achtet in erster Linie darauf, dass die Gutachten schlüssig und auf methodisch einwandfreie Weise zustande gekommen sind. Mit dem erteilten Gütesiegel kann das jeweilige Unternehmen im Rahmen der wettbewerbsrechtlichen Bestimmungen nach Belieben Werbung machen. Es ist keineswegs darauf beschränkt, dies nur bei Behörden oder bei Stellen in Schleswig-Holstein zu tun, sondern es kann das Gütesiegel weltweit für Marketingzwecke verwenden, wenn es sich davon einen Vorteil verspricht. 5. Welche Chancen hat ein marktwirtschaftlicher Datenschutz? An der Frage der Erfolgschancen einer marktwirtschaftlichen Orientierung des Datenschutzes hängt mehr, als man im ersten Moment meinen möchte. Denn die Überlegungen, den Datenschutz eher präventiv auszurichten und insbesondere die datenschutzrechtlichen Ziele auch durch Technikgestaltung zu unterstützen (Borking 1996, S. 654), gehen ins Leere, wenn keine Anreize für Hersteller und Entwickler bestehen, IT-Produkte datenschutzgerecht zu designen. Hinter der Gütesiegelidee steckt eigentlich das Ziel, Privacy Enhancing Technologies, also »datenschutzfördernder« Technik zum Durchbruch zu verhelfen. Per Verordnung wird sich eine bestimmte Technikgestaltung nicht erzwingen lassen, eher könnten Marktvorteile die Unternehmen veranlassen, ihre Produkte in diese Richtung weiterzuentwickeln. Ob diese Rechnung aufgeht, hängt davon ab, ob tatsächlich eine Nachfrage nach solchen Produkten besteht. Aus Umfragen ist bekannt, dass ein starkes Interesse an einem funktionierenden Datenschutz besteht, aber es ist eine andere Frage, unter welchen Umständen daraus eine tatsächliche Nachfrage nach entsprechenden Produkten wird. Wenn von zwei Produkten, die im übrigen hinsichtlich Preis und Leistung gleichauf liegen, eines zusätzlich per Gütesiegel seine Datenschutztauglichkeit nachweisen kann, dann müsste das Publikum dieses eigentlich bevorzugen. Hier kommt es dann zum Schwur, ob der Schritt vom Umfrageergebnis zur Veränderung von Verhaltens- und Konsumgewohnheiten wirklich vollzogen wird. Diesem »Lackmustest« muss sich der Datenschutz aber stellen, weil auf Dauer nur schwerlich mit den Rechten und Interessen der Bürger argumentiert werden kann, ohne dass die Betroffenen selbst zu erkennen geben, dass dies für sie überhaupt von Relevanz ist. So gesehen könnte mehr Marktwirtschaft im Datenschutz auch ein Stück mehr Demokratie unter dem Gesichtspunkt bedeuten, dass die Annahme der Datenschutzangebote durch die Bürgerinnen und Bürger ein Gradmesser dafür ist, wie viel und welchen Datenschutz sie eigentlich wünschen. Bislang konnten auch in Schleswig-Holstein nur erste Erfahrungen mit den neuen marktwirtschaftlichen Instrumenten gewonnen werden. Die Nachfragen aus der Wirtschaft nach dem IT-Gütesiegel zeigen, dass das Interesse vorhanden ist und dass sich zunächst vermutlich ein kleiner Freundesgabe Büllesbach 2002 112 Bäumler Schwerpunkt bei medizinischen Produkten bilden könnte. Die beim ULD begonnenen Modellprojekte werden nach ihrer Auswertung etwas genauere Aufschlüsse darüber geben, in welche Richtung die Entwicklung wahrscheinlich gehen wird. Beim Thema Datenschutzaudit zeichnet sich ab, dass vor allem solche Verwaltungen Interesse zeigen, die auch im übrigen »gut« sein wollen und an deren Spitze den Ideen der Verwaltungsmodernisierung verbundene Manager stehen. Bei diesem Personenkreis ist eher unwahrscheinlich, dass sie sich für den »herkömmlichen« Datenschutz in gleicher Weise interessieren würden. Manch einer mag einwenden, nun habe sich der Datenschutz nach zähem Kampf gerade ein wenig in unserem Rechtssystem etabliert, weshalb sei jetzt eine marktwirtschaftliche (Neu-) Orientierung notwendig? Dem ist zu entgegnen, dass der Innovationsdruck auf vielen Feldern ungemein groß ist. Dies gilt in besonderem Maße für alles, was mit der elektronischen Datenverarbeitung zusammenhängt. Deren Innovationszyklen erfolgen nach wie vor in rascher Abfolge (Büllesbach 2002, S. 45). Die technischen und gesellschaftlichen Veränderungen seit Erlass der ersten Datenschutzgesetze zwingen dazu, das bisherige Konzept zu überdenken. Ein Datenschutzmodell, das die Freiheit der Bürgerinnen und Bürger in erster Linie durch Großrechenanlagen einiger weniger mächtiger Institutionen bedroht sieht und das dieser Herausforderung mit staatlicher ordnungsbehördlicher Kontrolle zu begegnen sucht, muss zur Kenntnis nehmen, dass die Informationstechnik vor allem durch Miniaturisierung und Preisverfall in einem Maße »demokratisiert« worden ist, dass die meisten »Bedrohten« selbst zu Datenverarbeitern geworden sind. Einmal abgesehen davon, dass die Rolle des Staates auf fast allen Gebieten an Bedeutung verloren hat, muss auch bedacht werden, dass staatliche Datenschutzaufsicht unter den gewandelten Bedingungen nicht nur einige wenige Wirtschaftsunternehmen, sondern potentiell nahezu jedermann betreffen kann. Deshalb wäre ein Festhalten an der Fixierung des Datenschutzes an ordnungsbehördlichen Instrumenten nicht hilfreich. Der Datenschutz als ein auf die Informationstechnik bezogener Reflex muss vielmehr beweisen, dass auch er sich rasch auf neue Herausforderungen einstellen kann. Stillstand ist Rückschritt. Mehr marktwirtschaftlicher Datenschutz könnte ein Fortschritt sein. Literatur: Bäumler, H. / v. Mutius, A. (2002) (Hrsg.); Datenschutz als Wettbewerbsvorteil, Braunschweig, Wiesbaden 2002. Bizer, J. (2002); Datenschutzrechtliche Informationspflichten – Ein Beitrag für marktwirtschaftlichen Datenschutz, In: Bäumler, H./v. Mutius, A. (2002), S. 125 ff. Borking, J. (1996): Der Identity Protector, DuD 1996, S. 654 ff. Büllesbach, A. (1997): Datenschutz und Datensicherheit als Qualitäts- und Wettbewerbsfaktor, RDV 1997, S. 239 ff. Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz 113 Büllesbach, A. (1999): Datenschutz als prozessorientierter Wettbewerbsbestandteil, PIK 1999, S. 162 ff. Büllesbach, A. (2000): Datenschutz in einem globalen Unternehmen, RDV 2000, S. 1 ff. Büllesbach, A. (2002): Premium Privacy, in: Bäumler, H. / v. Mutius, A. (2002), S. 45 ff. Diek, A. (2002): Gütesiegel nach dem schleswig-holsteinischen Landesdatenschutzgesetz, in: Bäumler, H. / v. Mutius, A., (2002), S. 157 ff. Drews, H.-L; Kranz, H. J. (1998): Argumente gegen die gesetzliche Regelung eines Datenschutz-Audits, DuD 1998, S. 93 ff. Golembiewski, C. (2002): Das Datenschutzaudit in Schleswig-Holstein, in: Bäumler, H. / v. Mutius, A. (2002), S. 107 ff. Hansen, M. (2002): Probst, T., Datenschutzsiegel aus technischer Sicht: Bewertungskriterien des schleswig-holsteinischen Datenschutzgütesiegels, in: Bäumler, H. / v. Mutius, A. (2002), S. 163 ff. Müller, E., Datenschutz als Verbraucherschutz (2002): in: Bäumler, H./ v. Mutius, A. (2002), S. 20 ff. v. Mutius, A. (2002): Wettbewerb in der öffentlichen Verwaltung, in: Bäumler / H. / v. Mutius, A. (2002), S. 81 ff. Opaschowski, H. (2002): Was will der Verbraucher?, in: Bäumler, H. /v. Mutius, A. (2002), S. 13 ff. Petri, Th. (2002): Zielvereinbarungen im Datenschutzrecht, in: Bäumler, H./ v. Mutius, A. (2002), S. 142 ff. Roßnagel, A. (2000): Datenschutzaudit, Braunschweig, Wiesbaden 2000. Roßnagel, A. (2002): Marktwirtschaftlicher Datenschutz im Datenschutzrecht der Zukunft, in: Bäumler, H. / v. Mutius, A. (2002), S. 115 ff. Wedde, P. / Schröder, L. (2001): Das Gütesiegel für Qualität im betrieblichen Datenschutz, Frankfurt 2001 ff. Weichert, T. (2002): Den Kunden im Blickfeld, in: Bäumler, H. / v. Mutius, A. (2002), S. 27 ff. Freundesgabe Büllesbach 2002 114 Freundesgabe Büllesbach 2002 115 Jörg Tauss1 Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz Wer immer sich in den vergangenen Jahren mit der Modernisierung des Datenschutzes beschäftigte, wird bald auf die Beiträge des ehemaligen Landesdatenschutzbeauftragten der Hansestadt Bremen und heutigen Konzerndatenschutzbeauftragten der DaimlerChrysler AG, Professor Alfred Büllesbach, gestoßen sein. Doch nicht die aktuelle Debatte um die Modernisierung des Datenschutzrechtes hat Alfred Büllesbach entscheidend mitgeprägt, vielmehr sind seine Beiträge bereits seit vielen Jahren für die nicht immer einfachen Datenschutzdebatten unverzichtbar. Als Beleg mag der von der SPD-Fraktion am 13. 12. 1988 eingebrachte Gesetzentwurf eines »BundesInformationsschutzgesetzes« dienen (BT-Drs. 11/3730), an dessen Formulie2 rung Alfred Büllesbach maßgeblich beteiligt war. In der Person Alfred Büllesbach kommen zwei Besonderheiten zum Ausdruck: Zum einen gelingt es ihm auf hervorragende Art und Weise, die Perspektive der Wissenschaft und Wirtschaft zu bündeln. Auf der anderen Seite ist er aufgrund seines beruflichen Werdeganges wie kaum ein anderer in der Lage, die Fragen des Datenschutzes sowohl für den öffentlichen als auch für den nichtöffentlichen Bereich einschätzen und bewerten zu können. So ist es auch kein Zufall sondern ein Glücksfall, dass er sowohl im Arbeitskreis »Datenschutz« der SPD-Bundestagsfraktion, der bei der Erstellung des Eckwerte-Papiers »Modernes Datenschutzrecht für die (globale) Wissens- und In3 formationsgesellschaft« im Jahr 1998 einen erheblichen Anteil hatte, als auch im Begleitausschuss »Modernisierung des Datenschutzrechtes«, der die Koalitionsfraktionen bei der Erarbeitung und Beratung des Gutachtens 4 »Modernisierung des Datenschutzrechtes« beraten hat und bei der Umsetzung dieses Reformvorhabens unterstützen soll, maßgeblich beteiligt war.5 Rückblickend wird – aus der Perspektive der um wissenschaftliche Beratung ersuchenden Politik – vor allem eines deutlich: Wissenschaftliche Politikberatung bedeutet in erster Linie Position beziehen. Um ein konkretes Beispiel zu nennen: Noch während der parlamentarischen Beratung des Informationsund Kommunikationsdienstegesetzes (IuKDG), mit dem seitens des Bundesgesetzgebers erste vorsichtige Schritte zu einer Modernisierung des Datenschutzrechtes im Bereich der Neuen Medien versucht werden sollten, und inmitten der aufgeheizten Kryptodebatte hat Alfred Büllesbach 1997 im Auftrag der Friedrich-Ebert-Stiftung ein Gutachten unter dem Titel »Datenschutz bei Informations- und Kommunikationsdiensten« vorgelegt (Büllesbach 1997). Die Kernaussagen dieses Gutachtens haben noch immer Bestand und lauten kurzgefasst: Die Fortentwicklung der Informationsgesellschaft verlangt, Datenschutz und IT-Sicherheit als zentrale Akzeptanzvoraussetzung zu begreifen. Der bestehende Rechtsrahmen eignet sich angesichts der immensen Herausforderungen nur noch bedingt zur Verwirklichung eines angemessenen Datenschutzes. Dies sei vor allem auf die zergliederten beFreundesgabe Büllesbach 2002 116 Tauss reichsspezifischen Regelungen (einschließlich der zu diesem Zeitpunkt auf der Agenda stehenden neuen Gesetze) zurückzuführen, die für Datenschutz und IT-Sicherheit eine überschneidende Überregulierung und eine strukturelle Unübersichtlichkeit für Nutzer, Verbraucher und Normadressaten schaffen. Notwendig sind darüber hinaus neue Instrumente wie Selbstschutz und Systemschutz. Diese wiederum setzen die freie und uneingeschränkte Verfügbarkeit kryptographischer Verfahren voraus (vgl. hierzu Huhn/Pfitzmann 1998). Gerade die Debatte um die immer wieder geforderte Einschränkung kryptographischer Verfahren hat überdeutlich gezeigt, wie wichtig es ist, Position zu beziehen – zumal wenn es darum geht, die aus den unterschiedlichen Perspektiven jeweils durchaus berechtigten Interessen sorgsam gegeneinander abzuwägen. In seinem Gutachten für die Friedrich-Ebert-Stiftung hat Alfred Büllesbach eine – sowohl aus der Perspektive der Wissenschaft als auch aus der Perspektive der Wirtschaft – eindeutige Position mit der Feststellung bezogen, dass »eine Regulierung des Einsatzes kryptographischer Verfahren zum Zwecke des Abhörens durch Ermittlungs- und Sicherheitsbehörden unverhältnismäßig« wäre und dass die »deutsche Wirtschaft den freien Zugang zu kryptographischen Verfahren, denen sie vertrauen kann«, braucht (Büllesbach 1997: 8). Ohne derartige richtungsweisende Stellungnahmen seitens der Wissenschaft und seitens der Wirtschaft wäre die Politik kaum in der Lage gewesen, eine sachgerechte und angemessene Abwägung bei der Bewertung der Kryptofreiheit vorzunehmen und durchzusetzen. Vor dem Hintergrund dieses Engagements ist der Anlass dieser Freundesgabe für Alfred Büllesbach Grund genug, auf die umfassenden Herausforderungen der Modernisierung des Datenschutzrechts näher einzugehen (1.). Die SPD-geführte Bundesregierung und die Koalitionsfraktionen haben sich darauf verständigt, das gesamte Datenschutzrecht in einem zweistufigen Verfahren umfassend zu modernisieren. In einem ersten Schritt wurde mit einer ersten Novellierung des Bundesdatenschutzgesetzes (BDSG) die längst überfällige Umsetzung der EG-Datenschutzrichtlinie in deutsches Recht erreicht. In einem zweiten Schritt sollte das gesamte Datenschutzrecht einschließlich der bereichsspezifischen Regelungen auf den Prüfstand gestellt werden. Aufgezeigt werden sollen hier der Stand der politischen Diskussion am Ende der 14. Legislaturperiode des Deutschen Bundestages (2.). Hierbei sind natürlich auch die furchtbaren Ereignisse des 11. September 2001 in New York und Washington zu thematisieren, die zwangsläufig nicht nur die Prioritätenliste politischer Aktivitäten grundlegend verschoben haben, sondern vielmehr auch die politische Debatte insgesamt und vor allem die sicherheitspolitische Diskussion verändert haben. Schließlich sollen die zentralen Eckpunkte für die Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes benannt werden, die sich in vielen Punkten auf das vom Bundesministerium des Innern in Auftrag gegebenen Gutachten berufen können (3.). Freundesgabe Büllesbach 2002 Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz 117 1. Herausforderungen an das Datenschutzrecht Die Herausbildung einer globalen Informations- und Wissensgesellschaft stellt für die Verwirklichung des Rechtes auf informationelle und kommunikative Selbstbestimmung eine doppelte Herausforderung dar. Zum ersten geraten Fragen der Datensicherheit und des Datenschutzes um so stärker in den Blick, je tiefer sämtliche Lebensbereiche durch die neuen Informations- und Kommunikationstechnologien durchdrungen und in zunehmendem Maße sensible Daten und vertrauliche Inhalte aus allen Bereichen in IuK-Netzwerke eingespeist und übermittelt werden. Mit der Bedeutung elektronischer Informations- und Kommunikationsinfrastrukturen für die individuelle Lebens- und Berufswelt, aber auch für gesellschaftliche und wirtschaftliche Organisationen und deren Kommunikation wächst zugleich das Bewusstsein um die neuen Gefahren, die mit den spezifischen Merkmalen elektronischer Datenverarbeitung in globalen Netzwerken einher gehen. Unaufhörlich entstehen bei der komplexen digitalen Signalübermittlung und -verarbeitung Datenspuren, deren Verknüpfung ebenso vielfältige wie neuartige Möglichkeiten der unbefugten Kenntnisnahme, Überwachung und Verarbeitung personenbezogener Daten eröffnen, genannt seien hier lediglich Profilbildung oder Data-Mining. Das zunehmende Aufkommen personenbezogener Daten, die Dezentralisierung der Datenerhebung und die Dezentralisierung der Datenverarbeitung in komplexen Netzwerken macht allein die Feststellung sämtlicher potentiell sensibler Verarbeitungsprozesse unmöglich, von einer wirkungsvollen Aufsicht oder Kontrolle ganz zu schweigen (vgl. EnqueteKommission 1998 und DuD 5/2000). Aufgrund der digitalen Universalsprache ist die Integrität und Authentizität der elektronischen Kommunikation nicht ohne aufwendige Maßnahmen sicherzustellen, da sie die nicht nachvollziehbare Manipulation von Informationen und vertraulichen Inhalten ermöglicht. Zudem entstehen hinsichtlich der physikalischen Integrität der Daten und der rein technischen Verfügbarkeit von Infrastrukturen aufgrund der Komplexität der Technologie und der integrierten Netzwerke neue Risiken, die zunehmend an Bedeutung gewinnen (Stichwort »Kritische Infrastrukturen«). Nicht nur, dass der Schutz der Privatsphäre und die Vertraulichkeit und Integrität sämtlicher Kommunikation zunehmend an Bedeutung gewinnt, darüber hinaus wird Datensicherheit zu einem integralen Baustein in einem ganzheitlichen, auf mehrseitige Sicherheit 6 basierenden Datenschutzkonzept (Müller/Pfitzmann 1997: 11 f.; Ulrich 1999: 14) . Zum zweiten setzt die im wörtlichen Sinne globale Dimension der IuKNetzwerke nationalen oder regionalen Regelungen enge Grenzen. Insbesondere die Reichweite des klassischen Ansatzes eines normenorientierten Datenschutzes, dessen Rechtsgeltung öffentlich kontrolliert und gewährleistet wird, endet im Gegensatz zu den Datenströmen spätestens an den jeweiligen Landesgrenzen. Die mit der Umsetzung der Datenschutzrichtlinie erfolgte Harmonisierung des europäischen Datenschutzrechtes, mit der weit über die bisherigen Regelungen hinaus ein einheitlicher Rechtsrahmen sichergestellt Freundesgabe Büllesbach 2002 118 Tauss werden soll, vermag diesen Missstand lediglich zu lindern, beseitigen kann sie ihn nicht (vgl. Simitis 1998: 183 f.; DuD 8/2000). Denn in globalen Zusammenhängen sind selbst regional einheitliche Regelungen letztlich partikulare Regime-Inseln, deren begrenzte Ausdehnung zugleich mit der Reichweite einer legitimierten – dennoch mehr oder weniger effektiven – Rechtsdurchsetzung zusammenfällt. Internationale oder gar globale Vereinbarungen und Verträge sind jedoch aufgrund der divergierenden Datenschutztraditionen und Rechtsphilosophien nur schwer zu erzielen, wie nicht zuletzt die Verhandlun7 gen zu den »Safe-Harbour-Principles« zwischen den USA und der EU zeigten. Zudem bleibt zumindest zu fragen, ob multilaterale Abkommen ein akzeptables Schutzniveau zu erzielen vermögen und flexibel an die Dynamik der technischen Entwicklung anzupassen sind. Dies gilt um so mehr in Anbetracht der notgedrungen vorherrschenden Praxis, in derartigen Verhandlungen lediglich den »kleinsten gemeinsamen Nenner« bestimmen und festschreiben zu können. Diese Situation verändert die Rahmenbedingungen für einen angemessenen und effektiven Datenschutz – die Rede ist von einem Neuen Datenschutz oder von Datenschutzgesetzen der dritten Generation (vgl. Bäumler 1998 und Bäumler/ v. Mutius 1999, Tauss/Özdemir 2000). Zum klassischen Schutz der individuellen Privatsphäre im Sinne der Verwirklichung der informationellen Selbstbestimmung treten untrennbar sowohl die notwendige Berücksichtigung der kommunikativen Autonomie aller an der elektronischen Kommunikation Beteiligten als auch die notwendige Gewährleistung einer hinreichenden technischen Datensicherheit als Grundvoraussetzung hinzu, als conditio sine qua non (Tauss/Özdemir 2000: 143; Ulrich 1999: 14; DuD 5/2000, Bizer 1999: 45). Nicht nur die nachhaltige Zweckbindung für die Erhebung und Verarbeitung personenbezogener Daten und die Vertraulichkeit individueller Kommunikation gilt es sicherzustellen, auch die sichere und vertrauliche Kommunikation von Unternehmen, Organisationen und Verwaltungsbehörden sowie die Sicherheit ihrer sensiblen gespeicherten Daten sind in einem ganzheitlichen Datenschutzkonzept zu berücksichtigen. Die erfolgreiche Erfüllung aller Aufgaben hängt dabei zunehmend von der Realisierung der vier wichtigsten informationstechnischen Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Zurechenbarkeit ab, d.h. der technologisch auszuschließenden unbefugten Kenntnisnahme Dritter sowie unbefugter Veränderung der Daten, der bedarfsnahen Zugänglichkeit relevanter Informationen und der im – autorisierten – Bedarfsfall möglichen Identifikation der kommunizierenden Nutzer 8 (vgl. Rannenberg/Pfitzmann/Müller 1997: 22 f.). Gerade die erfolgreiche Bearbeitung dieser komplexen Aufgabenstellung wird durch die vereinfachte, dezentrale und globale Vernetzung der Datenverarbeitungsprozesse strukturell erschwert. Zeitgleich lokalisieren zahlreiche Studien und Prognosen mit dem notwendigen Vertrauen und mit der hinreichenden Akzeptanz bei den potentiellen Nutzern die entscheidenden kritischen Variablen für die künftige gesellschaftFreundesgabe Büllesbach 2002 Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz 119 liche Bedeutung der neuen IuK-Möglichkeiten, gerade in den Bereichen E-Government, E-Democracy oder auch E-Commerce (vgl. Booz Allen Hamilton 2000). Die gesellschaftspolitisch prekäre digitale Spaltung der Gesellschaft in Nutzer und Nichtnutzer und die spürbare Zurückhaltung der Nutzer, auch komplexe und hochsensible Transaktionen im Netz durchzuführen, ist (auch) eine Folge des Misstrauens in die Sicherheit und Vertraulichkeit der neuen IuK-Möglichkeiten. Erst wenn die Bürgerinnen und Bürger, die Unternehmen und auch die Verwaltungsbehörden davon überzeugt sind, dass ihre sensiblen Daten und ihre vertrauliche Kommunikation zuverlässig, unverändert und innerhalb ihrer Kontrollparameter übermittelt oder verarbeitet werden, erst dann werden sich die fraglos bestehenden Informations-, Transparenz-, Rationalisierungs- und Interaktionspotentiale der neuen IuK-Möglichkeiten realisieren lassen. Der Staat ist daher aus seiner allgemeinen Schutz- und Gewährleistungsverpflichtung keineswegs zu entlassen. Vielmehr ist – analog zu anderen Politikfeldern – auch auf dem zunehmend akuten Gebiet des Datenschutzes von der partikularen und ineffektiven Detailregulierung mit großer Tiefe umzustellen auf die Schaffung variabler Rahmenbedingungen für einen effektiven Selbstschutz der individuellen Nutzer und einen marktregulierten Wettbewerb um das höchste systemische und/oder technische Datenschutzniveau. Gemeinsam mit der international harmonisierten Normierung von Datenschutzzielen bilden diese Aspekte eines »Neuen Datenschutzes« (vgl. Tauss/Özdemir 2000: 143 f.; DuD 5/2000) komplementäre Antwortstrategien auf die zwei Herausforderungen der neuen Rahmenbedingungen, der Dezentralisierung und Verknüpfung der Erhebung, der Speicherung, der Übermittlung sowie der Verarbeitung sensibler Daten und der länderübergreifenden, sprich globalen Dimension der Netzwerke. Der individuelle Selbstdatenschutz, der Systemdatenschutz und der technisch implementierte Datenschutz bedingen sich gegenseitig und ergänzen das bestehende normative Instrumen9 tarium auf Selbstregulierung abhebender Mechanismen. Sie besitzen dabei unserer Meinung nach das größte Potential, einen nachhaltigen und effektiven Datenschutz mit einer hinreichenden Datensicherheit zu verbinden. 2. Modernisierung des Datenschutzrechtes – eine Zwischenbilanz Die SPD-geführte Bundesregierung und die Koalitionsfraktionen haben die immensen Herausforderungen, mit denen sich das Datenschutzrecht in der Wissens- und Informationsgesellschaft konfrontiert sieht, erkannt. Sie sind angetreten mit dem Ziel, die demokratischen Beteiligungsrechte der Bürgerinnen und Bürger zu stärken. In der Koalitionsvereinbarung heißt es: »Effektiver Datenschutz im öffentlichen und im privaten Bereich gehört zu den unverzichtbaren Voraussetzungen für eine demokratische und verantwortbare Informationsgesellschaft. Die notwendige Anpassung des deutschen Datenschutzrechts an die Richtlinie der Europäischen Union soll kurzfristig umgeFreundesgabe Büllesbach 2002 120 Tauss setzt werden. Durch ein Informationsfreiheitsgesetz wollen wir unter Berücksichtigung des Datenschutzes den Bürgerinnen und Bürgern Informationszugangsrechte verschaffen.«10 In einem ersten Schritt hat die SPD-geführte Bundesregierung unmittelbar nach ihrem Amtsantritt in einem gemeinsamen Moratorium des Bundesinnenministeriums und des Bundeswirtschaftsministeriums die jahrelange Debatte um eine Regulierung kryptographischer Verfahren beendet und angesichts der Bedeutung dieses wichtigen Selbstschutzinstrumentes auf eine gesetzliche Regelung verzichtet (Statt dessen hat das Bundeswirtschafts-ministerium die Verfügbarkeit und Weiterentwicklung kryptographischer Verfahren – quasi als staatliche Dienstleistung – maßgeblich gefördert und forciert). Bundesregierung und Koalitionsfraktionen haben sich auf eine umfassende Modernisierung des Datenschutzrechtes in einem zweistufigen Verfahren verständigt. In einem ersten Schritt wurden in dieser Legislaturperiode die Vorgaben der EG-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in deutsches Recht umgesetzt. Durch die Umsetzung der EG-Datenschutz-Richtlinie wird europaweit ein einheitliches Datenschutzniveau geschaffen und werden einheitliche Maßstäbe für die Erhebung und Verarbeitung von Daten in der Europäischen Union festgelegt. Die zentralen Ziele der EG-Datenschutzrichtlinie lauten zusammengefasst: Transparenz der Datenverarbeitung und Akzeptanz der Verbraucher und Nutzer. Mit dieser ersten Novellierung des Bundesdatenschutzgesetzes (BDSG) wurden zugleich erste Bausteine der Modernisierung des Datenschutzrechtes aufgenommen, beispielsweise die Prinzipien der Datenvermeidung und der Datensparsamkeit und das Datenschutzaudit. In einem zweiten Schritt sollte nun – unmittelbar an die Umsetzung der EG-Datenschutzrichtlinie anschließend – das gesamte Datenschutzrecht mit dem Ziel einer umfassenden Modernisierung auf den Prüfstand gestellt werden. Hierzu hat das Bundesministerium des Innern ein Gutachten in Auftrag gegeben, welches den Reformbedarf und die Reichweite aufzeigen und Grundlinien zur »Modernisierung des Datenschutzrechtes« erarbeiten sollte. Im Herbst 2001 wurde dieses Gutachten der Öffentlichkeit vorgestellt (Rossnagel/Pfitzmann/Garstka 2001). Die schrecklichen Ereignisse des 11. September 2001 in New York und Washington haben nicht nur die politische Agenda grundlegend verschoben, sondern auch die (sicherheits-)politische Debatte insgesamt: Galt angesichts der eingangs beschriebenen Herausforderungen in globalen Kommunikationsnetzen bis dahin die Feststellung, dass an die Stelle staatlicher Regulierung zunehmend die Anleitung und Hilfe zur Selbsthilfe der Nutzer treten müsse und dass das Kontrollmoment des Staates – im Sinne des Cybercontrol – hinter den Schutzmoment der Nutzer und der sensiblen Infrastrukturen – im Sinne der Cyberprotection – zurücktreten müssen, so hat der 11. September 2001 diese ungeschriebenen Regeln einer effektiven Netzund Datenschutzpolitik grundlegend verändert. Bereits früh wurde von Freundesgabe Büllesbach 2002 Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz 121 Netzaktivisten vorhergesagt, dass eine massive Abkehr von diesen gewonnenen Überzeugungen und eine Umkehr des Verhältnisses von Cybercontrol und Cyberprotection bevorsteht. Die Entwicklung in fast allen westlichen Staaten hat diese Befürchtungen mittlerweile mehr als bestätigt. Der spezifische Kontext internationaler paketvermittelter Kommunikation ist in Gefahr, aus dem Blick zu geraten und unter dem wiedererstarkten Primat eines klassisch interpretierten (nationalen) Sicherheitsverständnisses zu verschwinden. Obwohl sich die beschriebenen Rahmenbedingungen nicht wesentlich geändert haben, folgen die gegenwärtigen sicherheitspolitischen Maßnahmen infolge des Terroranschlages vor allem wieder dem Regelungsmodus »law and order« – wenn auch mit gewissen Einschränkungen. Rechtsdurchsetzungs- und Strafermittlungsprobleme ergeben sich nun aus Sicht der Sicherheitsbehören wieder eher aus Rechtslücken sowie überzogenen datenschutzrechtlichen Bedenken, einem gefährlichen Laisser-faire und mangelnder finanzieller, technischer wie personeller Ausstattung der Behörden, als aus der technologischen Dynamik und globalen Vernetzung der neuen IuKMöglichkeiten. Die Ambivalenzen und mit ihnen die Warnungen vor einer Überregulierung oder einer überzogenen Kontrolle der Bürger erscheinen – vorerst – nachrangig. Der Staat, so die Argumentation weiter, sei in seiner ureigensten Aufgabe als Garant der öffentlichen Sicherheit herausgefordert und müsse regieren. Das »Wer, Was und Wie« der Sicherheitsfrage lässt sich wieder eindeutig beantworten: Allein der Staat sorgt für eine umfassende Sicherheit für alle, bei der die Ermittlungs- und Rechtsdurchsetzungsperspektive im Vordergrund steht und durchgreifende Regulierung als einziges Mittel erscheint. Die wichtige Wechselbeziehung von Cybercontrol auf der einen und Cyberprotection auf der anderen Seite gerät aus dem Blick. Es setzt sich in der politischen Debatte wieder zunehmend die Überzeugung durch, dass beide Aspekte unvereinbar sind und dass der Kontrolle der Vorzug vor dem Schutz gegeben werden muss. Das gemeinsame Ziel einer in diesem Sinne erhöhten Sicherheit wird derzeit zur Legitimation für zahlreiche Maßnahmen zur Erweiterung der Überwachungs- und Kontrollmöglichkeiten herangezogen, wofür die Debatten um die Telekommunikations-Überwachungsverordnung oder den Einsatz des sogenannten IMSI-Catchers beispielhaft angeführt werden können. Aber nur in Ausnahmefällen stehen Wirksamkeit, Angemessenheit und auch Nebeneffekte dieser Aktivitäten auf der Tagesordnung. Immerhin sollte, und dies ist ein positiver Aspekt, darauf hingewiesen werden, dass auch dass sogenannte Sicherheitspaket II nicht die jüngsten Entwicklungen in der Form der Gesetzgebung vollständig zurückdrehen konnte: Mit der auf Initiative der Koalitionsfraktionen erfolgten grundsätzlichen Befristung der Maßnahmen und der Kopplung einer eventuellen Verlängerung an eine positive Evaluierung sind zwei zentrale Momente der neuen Formen moderner Gesetzgebung auch unter den derzeitigen schwierigen Rahmenbedingungen realisiert worden. Natürlich gehört zu einer modernen Gesetzgebung mehr als Befristung und Freundesgabe Büllesbach 2002 122 Tauss Evaluierung, und genau hier wird die zweite Stufe zur Modernisierung des Datenschutzrechtes ansetzen. So ist es geradezu eine Voraussetzung für die erfolgreiche Modernisierung des Datenschutzrechtes, dass die wichtige Wechselbeziehung zwischen Cybercontrol und Cyberprotection wieder thematisiert und vor allem die teilweise schwerwiegenden Nebenfolgen einer Verengung der Perspektive auf den Kontrollgedanken wieder in das Blickfeld der politischen Debatte gerückt werden. 3. Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes Die positiven Erwartungen an das Datenschutzrecht und die Unzulänglichkeit der bisherigen Regelungen sollen mit der Umsetzung der zweiten Stufe ein modernes Datenschutzrecht aufgegriffen bzw. beseitigt werden. Dieses wird nicht nur einfacher und verständlicher sein, sondern darüber hinaus auch hinsichtlich der neuen Formen der Datenverarbeitung risikoadäquat. Um das erste Ziel zu erreichen, müssen die Selbstbestimmung der betroffenen Person gestärkt und die Selbstregulierung und Selbstkontrolle der Datenverarbeiter ermöglicht und verbessert werden. Um das zweite Ziel zu erreichen, müssen vor allem Konzepte des Selbstdatenschutzes und des Systemdatenschutzes umgesetzt werden. Das nun vorliegende Gutachten markiert wichtige Eckpunkte für die Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes. Kurz 11 gefasst lauten die Kernaussagen des Gutachtens wie folgt: 1. Ein modernes Datenschutzrecht sollte auf einem allgemeinen Gesetz gründen, das bereichsspezifischen Regelungen vorgeht. Dieses sollte grundsätzliche und präzise Regelungen der Verarbeitung personenbezogener Daten und vermeidet möglichst offene Abwägungsklauseln enthalten. 2. Das Gesetz soll darüber hinaus auch allgemeine Regelungen zur Technikgestaltung, zur Datensicherung, zur Datenschutzorganisation, zur Datenschutzkontrolle und zur Selbstregulierung enthalten. Wird die Vorrangregelung im Verhältnis zwischen BDSG und bereichsspezifischen Regelungen umgedreht, können die bisherige Normenflut und Rechtszersplitterung verringert und Widersprüche vermieden werden. Spezialregelungen in bereichsspezifischen Gesetzen sollten nur Ausnahmen von den allgemeinen Regelungen enthalten und nur für bestimmte riskante Datenverarbeitungen die Anforderungen verschärfen oder bei unterdurchschnittlich riskanten Datenverarbeitungen Erleichterungen bieten. Auch könnten Ausnahmen vorgesehen werden, wenn Aufgaben im Allgemeininteresse ansonsten nicht erfüllt werden können. 3. Die allgemeinen Datenschutzgrundsätze sollten gleichermaßen für den öffentlichen und für den nichtöffentlichen Bereich gelten. In beiden Bereichen ist – risiko- und nicht bereichsabhängig – das gleiche Datenschutzniveau zu gewährleisten. Unterschiede sind insoweit zu berückFreundesgabe Büllesbach 2002 Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz 123 sichtigen, als im nichtöffentlichen Bereich die Regelungsadressaten Grundrechtsträger sind und im öffentlichen Bereich Allgemeininteressen verfolgt werden müssen. 4. Wenn das Datenschutzrecht entlastet und die Regelung des Datenverarbeitungsverhältnisses stärker seinen beiden Parteien überlassen werden soll, muss die Transparenz der Datenverarbeitung gegenüber der betroffenen Person erhöht werden. Zielsetzung eines modernen Datenschutzrechts muss es sein, ausreichende Informationen über die Erhebung personenbezogener Daten, über die Umstände und Verfahren ihrer Verarbeitung und die Zwecke ihrer Nutzung für die betroffenen Personen und die Kontrollstellen sicherzustellen. Wer geschäftsmäßig personenbezogene Daten automatisiert verarbeitet, sollte verpflichtet sein, die Struktur der Datenverarbeitung in verständlicher Form zu veröffentlichen, soweit dies ohne Offenlegung von schützenswerten Geheimnissen möglich ist. Mit angemessenem Aufwand muss überdies durchschaubar sein, was das System einschließlich aller Betriebs- und Anwendungssoftware genau tut. Im Interesse konsistenter Regelungen müssen die datenschutzrechtlichen Informationspflichten mit den für Anbieter und Unternehmen geltenden Transparenzregeln beispielweise aus dem Recht des Fernabsatzes harmonisiert werden. 5. Soweit die Datenverarbeitung Interessen der betroffenen Person beeinträchtigen könnte, soll die Entscheidung über diese vorrangig der Selbstbestimmung der betroffenen Person überlassen werden. Im Einzelfall muss die Datenverarbeitung grundsätzlich durch Einwilligung oder Einwilligungssurrogate wie Vertrag und vertragsähnliches Vertrauensverhältnis oder Antrag gegenüber einer Behörde erlaubt werden können. Die Einwilligung ist der genuine Ausdruck des Rechts auf informationelle Selbstbestimmung. Da aber zwischen den betroffenen Personen und den verantwortlichen Stellen in der Regel ein erhebliches Machtgefälle besteht, muss die Selbstbestimmung gestärkt werden. Ziel eines modernen Datenschutzrechts muss es daher sein, einerseits die Zulässigkeit der Datenverarbeitung im vertretbaren Umfang der individuellen Selbstbestimmung zu überlassen, andererseits aber deren Freiwilligkeit durch Rahmenregelungen abzusichern. 6. Grundsätzlich sollte im nichtöffentlichen Bereich eine »Opt-in-Lösung« gewählt werden: Die Datenverarbeitung setzt die vorherige Einwilligung der betroffenen Person voraus. Allerdings muss eine Datenverarbeitung auch ohne Einwilligung der betroffenen Person möglich sein. Zur Umschreibung dieser Ausnahmefälle ist der bisher die Datenverarbeitung steuernde Begriff des »berechtigten Interesses« zu weit. Ausnahmen sollten nur erlaubt sein, wenn dies zum Schutz oder zur Verfolgung eigener Rechte oder Rechte Dritter notwendig ist, oder wenn es erforderlich ist, um eine Gefahr für Leben, Gesundheit oder sonstige bedeutende Rechtsgüter der betroffenen Person zu beseitigen und die betroffene Person ihre Zustimmung nicht geben kann, oder wenn die Freundesgabe Büllesbach 2002 124 Tauss Datenverarbeitung erforderlich ist, um Verpflichtungen zu erfüllen, die durch Rechtsvorschriften der verantwortlichen Stelle auferlegt wurden. 7. Im öffentlichen Bereich sollte die Datenverarbeitung zulässig sein, wenn sie »zur Erfüllung einer gesetzlich zugewiesenen und in der Zuständigkeit der öffentlichen Stelle liegenden bestimmten Aufgabe erforderlich« ist. Soweit es allerdings um Verarbeitungszwecke und -formen geht, die gegen den Willen der betroffenen Person durchgesetzt werden müssen und deren Interessen stark beeinträchtigen können, sollen bereichsspezifische Regelungen die Zwecke und Formen risikoadäquat regeln. Die Einwilligung kann im öffentlichen Bereich die Datenverarbeitung im Wesentlichen nur im nicht gesetzlich gebundenen Bereich legitimieren. 8. Insgesamt sind den Prinzipien der Datenvermeidung und Datensparsamkeit eine grundlegende Bedeutung einzuräumen. Soweit für die Zwecke der Datenverarbeitung ein Personenbezug nicht erforderlich ist, muss dieser von Anfang an vermieden oder nachträglich durch Löschung der Daten, ihre Anonymisierung oder Pseudonymisierung beseitigt werden. Darüber hinaus sind die verantwortlichen Stellen zu verpflichten, soweit dies technisch möglich und verhältnismäßig ist, ihre Datenverarbeitungsverfahren so zu gestalten, dass sie möglichst keinen Personenbezug und auch keine Personenbeziehbarkeit aufweisen. Dieses Ziel kann durch Anonymität oder Pseudonymität der betroffenen Person erreicht werden. Anonymität und anonymitätsnahen Arten von Pseudonymen sollte grundsätzlich Vorrang gegeben werden. Die vorgenannten Grundsätze der Transparenz und der Vermeidung des Personenbezugs können nur durch die betroffenen Personen selbst durchgesetzt werden (Selbstdatenschutz). Sie müssen in die Lage versetzt werden, die Nutzung von technischen und organisatorischen Schutzinstrumenten selbst zu bestimmen. Dies sind Instrumente für Inhaltsschutz (Konzelation, Steganographie), Anonymität, Pseudonymität und Identitätsmanagement. Programme, die Schlüssel, Identitäten und Pseudonyme verwalten und den Nutzer bei der Verwendung von Selbstschutztechniken unterstützen, müssen gefördert werden. Eine Bildungsoffensive zum Umgang mit Instrumenten des Selbstdatenschutzes wäre zu erwägen. 9. Darüber hinaus müssen die Grundsätze der Datenverarbeitung organisatorisch sichergestellt werden. Viele bereits bestehende organisatorische Verpflichtungen der verantwortlichen Stellen sollten zu einem integrierten Datenschutzmanagementsystem zusammengefasst und fortentwickelt werden, um Verantwortlichkeit sicherzustellen, das Datenschutzbewusstsein zu stärken und eine datenschutzfreundliche Betriebsorganisation zu erreichen. Die Bestellung eines Datenschutzbeauftragten, die Erarbeitung eines Plans der Datenschutzorganisation und die Erstellung eines Datenschutz- und Datensicherungskonzepts sind die wesentlichen Bestandteile. Freundesgabe Büllesbach 2002 Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz 125 10. Zur Stärkung der Akzeptanz des Datenschutzes und um eine ständige Fortentwicklung entsprechend den sich verändernden und zunehmenden Risiken zu ermöglichen, muss ein modernes Datenschutzrecht auch Anreize für einen effektiven und sich fortentwickelnden Schutz bieten. Daher wird den verantwortlichen Stellen die Möglichkeit geboten, mit ihren Anstrengungen zur Implementierung eines effektiven Datenschutzes zu werben. Hierzu gehören insbesondere die vertrauenswürdige Auditierung von Datenschutzmanagementsystemen. Verantwortliche Stellen, die am Datenschutzaudit teilnehmen, sollten von öffentlichen Stellen bevorzugt berücksichtigt werden, wenn es um Aufträge zur Verarbeitung personenbezogener Daten geht. 11. Insgesamt muss der zu entwickelnde neue Datenschutz künftig durch, nicht gegen Technik erreicht werden. Datenschutzrecht muss versuchen, die Entwicklung von Verfahren und die Gestaltung von Hard- und Software am Ziel des Datenschutzes auszurichten und die Diffusion und Nutzung datenschutzgerechter oder -fördernder Technik zu fördern. Datenschutz sollte so weit wie möglich in Produkte, Dienste und Verfahren integriert sein. Adressaten des Datenschutzrechts können daher nicht mehr nur die für die Datenverarbeitung verantwortlichen Stellen sein. Das Datenschutzrecht muss bereits bei der Entwicklung der Technik Einfluss auf deren Gestaltung nehmen. Es muss datenschutzgerechte Technik fordern und fördern. Zu diesem Zweck sollten zumindest drei Regelungen vorgesehen werden. Die Hersteller sollten verpflichtet werden, für die Gestaltung ihrer Produkte zumindest die Erfüllung einiger zentraler Produktanforderungen zu überprüfen. Wer datenschutzgerechte Produkte herstellt, sollte die Möglichkeit erhalten, diese zertifizieren zu lassen und mit dem Zertifikat werben zu können. Schließlich sollten die verantwortlichen Stellen aufgefordert werden, datenschutzgerechte Produkte zu verwenden. Zumindest für öffentliche Stellen sollte dies zu einer gesetzlichen Pflicht erhoben werden. 12. Eine weitaus größere Bedeutung wird für einen Neuen Datenschutz der gesellschaftlichen Selbstregulierung zukommen, beispielsweise durch Konkretisierungen der gesetzlichen Grundsätze durch branchen- oder unternehmensspezifische Selbstverpflichtungen. Um in dieser ein faires Verfahren, einen angemessenen Interessenausgleich, die Berücksichtigung von Gemeinwohlinteressen und eine gewisse demokratische Legitimation zu gewährleisten, muss der Gesetzgeber auch für diese Regelsetzung einen gesetzlichen Rahmen vorgeben, um den Mindeststandard zum Schutz der Betroffenen zu gewährleisten und die Selbstregulierung zu entlasten. Selbstregulierung ermöglicht es der Wirtschaft, relativ schnell passgerechte branchen- oder unternehmensbezogene verbindliche Regelungen zu entwickeln, die die schnelle Entwicklung der Technik, die Komplexität ihrer Systeme und die Vielfalt ihrer Anwendungen berücksichtigen. Der entscheidende Anreiz für Branchen, Verbände oder Unternehmen, eigene, durch Kontrollstellen anerkannte Freundesgabe Büllesbach 2002 126 Tauss Verhaltensregeln zu erstellen, besteht in der Möglichkeit, die zu konkretisierenden Gesetzesvorgaben selbstständig und auch für die Kontrollstellen verbindlich auszugestalten. 13. Schließlich müssen mit dem neuen Datenschutzrecht auch die Betroffenenrechte weiter gestärkt werden. Sie bieten eine wesentliche Stütze für einen effektiven Datenschutz nur, wenn sie von den Betroffenen auch tatsächlich wahrgenommen werden und wahrgenommen werden können. Die betroffenen Personen müssen ihre Rechte frei und unbehindert sowie unentgeltlich ausüben können, ohne Zwang, dies zu tun oder nicht zu tun. Betroffenenrechte sollten wenn möglich nur im allgemeinen Datenschutzgesetz geregelt und möglichst knapp und einfach formuliert werden, damit auch die Betroffenen selbst sie verstehen. Sie sind ausdrücklich für unabdingbar zu erklären und dürfen nicht durch Rechtsgeschäft ausgeschlossen werden können. Die Unterscheidung zwischen öffentlichen und nichtöffentlichen Stellen ist auch bezüglich der Betroffenenrechte aufzugeben. Im Rahmen der Online-Kommunikation sollten die betroffenen Personen ihre Rechte auch telekommunikativ wahrnehmen können. Die betroffene Person sollte bereits vor der Datenerhebung über ihre Rechte informiert werden. Die Informations- und Unterrichtungspflichten sind daher entsprechend auszuweiten. Die Auskunft sollte umfassend erfolgen und sich je nach Anforderung der betroffenen Person auf alle Aspekte der Datenverarbeitung erstrecken. Insbesondere gehören hierzu Angaben zu den gespeicherten Daten selbst, zu deren Herkunft, zu den Empfängern der Daten und Teilnehmern eines automatisierten Abrufverfahrens, zum Zweck der Datenverarbeitung, zum Auftragnehmer bei Datenverarbeitung im Auftrag und zum Dienstleister bei Out-sourcing, wie auch Angaben über die erfolgte Berichtigung, Löschung oder Sperrung von Daten, über den Aufbau, die Struktur und den Ablauf der automatisierten Datenverarbeitung, insbesondere über Profilbildungen und deren Struktur. Ausnahmen von der Auskunftspflicht sollten im Unterschied zur heutigen Regelung auf wenige unabdingbare Fallkonstellationen reduziert werden. 14. Entscheidender Bedeutung kommt natürlich auch in Zukunft der Datenschutzkontrolle zu. Die Datenschutzkontrolle sollte für den öffentlichen und nicht öffentlichen Bereich einschließlich der Telekommunikation, Mediendienste und Rundfunkanstalten zusammengeführt werden. Hierfür bieten sich der Bundes- und die Landesbeauftragten an. Sie müssen zu Kompetenzzentren für Datenschutz und Datensicherheit entwickelt werden, die Kontroll- und Beratungsaufgaben aus einer Hand anbieten. Eine solche Vereinheitlichung der Kontrollstellen entspricht der Europäischen Datenschutzrichtlinie und führt zu wünschenswerten Synergieeffekten. Überdies erleichtert eine Vereinheitlichung es den Betroffenen, ihre Anrufungsrechte wahrzunehmen. Im Sinn einer völligen Unabhängigkeit der Kontrollstellen nach Art. 28 DSRL sollte die Freundesgabe Büllesbach 2002 Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz 127 Rechtsaufsicht über die Kontrollstellen sowohl für den öffentlichen wie auch für den nichtöffentlichen Bereich neu überdacht werden. Rechtsaufsicht ist immer mit einer Einflussnahme auf die Amtsführung der beaufsichtigten Stelle verbunden. Die Einführung der Initiativkontrolle auch im nichtöffentlichen Bereich führt überdies zu einem weitergehenden Eingriff in die Unternehmensrechte und legt eine Kontrolle über diese durch unabhängige, nicht in die Ministerialverwaltung eingebundene und von ihr kontrollierte Stellen nahe. Die notwendige demokratische Legitimation der Kontrollstellen erfolgt – wie auch heute schon – durch die Wahl der Amtsinhaber durch die Parlamente und ihre Berichtspflicht gegenüber diesen. Zur Klarstellung der Unabhängigkeit wäre eine Einrichtung des Bundesbeauftragten als oberste Bundesbehörde oder aber die Anbindung des Bundesbeauftragten für den Datenschutz an den Deutschen Bundestag – ähnlich der Stellung der Wehrbeauftragten – wünschenswert. 15. Auch die Stellung der betrieblichen und behördlichen Datenschutzbeauftragten muss gestärkt werden. Ihre Weisungsfreiheit und Unabhängigkeit sollte durch einen verstärkten Kündigungsschutz unterstützt werden, der sich an dem für Mitglieder der Mitarbeitervertretung orientiert. Lediglich natürliche Personen sollten als Datenschutzbeauftragte bestellt werden können. Externe Datenschutzbeauftragte sollten nur noch für einen Mindestzeitrahmen von fünf Jahren bestellt werden dürfen, um eine Umgehung des Kündigungsschutzes zu verhindern. Die Anforderungen an Fachkunde und Qualifikation sowie die sachliche und personelle Ausstattung der Beauftragten sollten näher beschrieben werden. Das Verhältnis zwischen Datenschutzbeauftragtem und Mitarbeitervertretung muss geklärt werden. Ein neues BDSG sollte auch die Funktion eines Konzerndatenschutzbeauftragten aufnehmen. Dies würde zu wünschenswerten Synergieeffekten führen und die Rolle des Datenschutzes im gesamten Konzernverbund stärken. Einem vom deutschen Datenschutzrecht sanktionierten Konzerndatenschutzbeauftragten wird es darüber hinaus in weltweit tätigen Konzernen leichter fallen, Datenschutzgrundsätze im gesamten Konzern durchzusetzen. Die Koalitionsfraktionen beraten derzeit in ihren Arbeitsgruppen einen Antrag, der diese zentralen Eckpunkte für einen Neuen Datenschutz aufgreift und die Ankündigung der Bundesregierung unterstützt, dass sie unter Einbeziehung von Wissenschaft und Praxis Gesetzentwürfe zu einem Arbeitnehmerdatenschutzgesetz sowie zu einem neuen Bundesdatenschutzgesetz vorlegen will. Die Koalitionsfraktionen geben mit diesem Antrag ihrer Erwartung Ausdruck, dass die Bundesregierung diese Gesetzentwürfe rechtzeitig in das parlamentarische Verfahren einbringen wird, damit diese bis Mitte der 15. Legislaturperiode beraten und verabschiedet werden können. Diese Erwartung ist von der Gewissheit bestimmt, dass eine Fortschreibung des nationalen Grundrechtsschutzes der überragenden Bedeutung der Entwicklung einer zivilen Informationsgesellschaft freier Bürger entsprechen Freundesgabe Büllesbach 2002 128 Tauss würde. Wesentliche Unterstützung könnte die Modernisierung des Datenschutzrechtes zudem dadurch bekommen, wenn flankierend die informationelle und kommunikative Selbstbestimmung als Grundrecht der Informationsgesellschaft in das Grundgesetz aufgenommen würde. 4. Fazit Das Grundrecht auf informationelle Selbstbestimmung soll zu einem Kommunikationsgrundrecht weiterentwickelt werden, das als Querschnittsgrundrecht den kommunikativen Gehalt aller Grundrechte zum Ausdruck bringt. Aus diesem Grund sollten auch Datenschutz und Informationsfreiheit als Kehrseiten derselben Medaille angesehen werden, die zwar immer wieder auch in einem Spannungsverhältnis zueinander stehen, jedoch zugleich Funktionsbedingungen eines demokratischen Gemeinwesens und notwendige Bestandteile einer freiheitlichen Kommunikationsordnung sind. Denn noch immer gilt: Will die Gesellschaft beim Übergang zur Wissens- und Informationsgesellschaft am Ziel eines freiheitlich-demokratischen Gemeinwesens festhalten und will sie auch die wirtschaftlichen und arbeitsmarktpolitischen Potenziale nicht gefährden, kommt sie nicht umhin, auch in einer vernetzten und digitalisierten Welt das Grundrecht auf informationelle und kommunikative Selbstbestimmung zu bewahren – und das wird nur durch eine umfassende Modernisierung des bestehenden Datenschutzrechtes zu erreichen sein. Ganz im Sinne von Alfred Büllesbach wird dem neuen Datenschutz zugleich eine grundlegend neue Bedeutung als Wettbewerbs- und Standortvorteil zukommen, die es auch im Hinblick auf den europäischen und internationalen Kontext und im Interesse des Datenschutzes – zu nutzen gilt. 1 2 3 4 5 6 7 8 Jörg Tauss ist Mitglied des Deutschen Bundestages, Vorsitzender des Unterausschusses Neue Medien beim Bundestagsausschuss für Kultur und Medien und bildungs- und forschungspolitischer Sprecher sowie Beauftragter für Neue Medien und zur Reform des Datenschutzrechtes der SPD-Bundestagsfraktion. Dieser Beitrag entstand in Zusammenarbeit mit Johannes Kollbeck und Nermin Fazlic. Die Arbeitsgruppe bestand neben Alfred Büllesbach aus dem damaligen Bundesbeauftragten für den Datenschutz, Hanspeter Bull, dem damaligen Datenschutzbeauftragten der Freien Hansestadt Hamburg, Claus Henning Schapper, dem Mitarbeiter der SPD-Fraktion Jürgen Klie sowie dem Obmann der SPD-Fraktion, Gerd Wartenberg, MdB. Das Eckwertepapier ist unter der Adresse www.tauss.de abrufbar. Vgl. Roßnagel/Pfitzmann /Garstka (2001): An dieser Stelle gilt es nochmals, Herrn Professor Alfred Büllesbach und allen anderen Mitwirkenden im Arbeitskreis »Datenschutz« der SPD-Bundestagsfraktion und im Begleitausschuss der Koalitionsfraktionen »Modernisierung des Datenschutzes« herzlich für die hervorragende Unterstützung zu danken. Vgl. Enquete-Kommission 1998 und DuD 5/2000. Zur mehrseitigen Sicherheit vgl. Müller/ Pfitzmann 1997: 11 f. Die Prinzipien dieses »sicheren Hafens« für den transatlantischen Austausch sensibler Daten sind auf dem DuD-Datenschutzserver abrufbar (www.dud.de, Link Datenschutzrecht, Internationales Recht), siehe auch http://www.datenschutz-berlin.de/doc/eu/index.htm# save_harbour. Das vierte Schutzziel der Zurechenbarkeit von Netzaktivitäten steht selbstverständlich in einem Freundesgabe Büllesbach 2002 Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz 9 10 11 129 Spannungsverhältnis zu dem datenschutzrechtlichen Grundsatz, insbesondere auch eine anonyme Nutzung der IuK-Netzwerke zu ermöglichen (vgl. Roßnagel/Scholz 2000: 721 f.). Hier bietet die Pseudonymisierung der Nutzung für bestimmte Transaktionsklassen einen möglichen Kompromiss, vermag allerdings nicht die Spannung aufzuheben (a.a.O.). Vgl. zu Selbstregulierung Bäumler 1998 und Heil 2001 sowie zur Implementierung technikrechtlicher Instrumente Bizer 1998. »Aufbruch und Erneuerung – Deutschlands Weg ins 21. Jahrhundert«. Koalitionsvereinbarung zwischen der Sozialdemokratischen Partei Deutschlands und Bündnis 90/Die Grünen vom 20. 10. 1998. Die folgenden Aussagen basieren im Wesentlichen auf den Ergebnissen des Gutachtens »Modernisierung des Datenschutzrechts«, welches von Alexander Roßnagel, Andreas Pfitzmann und Hansjürgen Garstka im Auftrag des Bundesministeriums des Innern im Herbst 2001 vorgelegt wurde. Siehe auch die zehn Schwerpunkte der Modernisierung des Datenschutzrechts, die vor dem Deutschen Bundestag am 6. 4. 2002 zu Protokoll gegeben habe, Deutscher Bundestag, BT-Prot. 14 /165, 16180 (B) f. Literatur Bäumler, Helmut (Hrsg.) (1998): Der neue Datenschutz. Datenschutz in der Informationsgesellschaft von morgen. Neuwied/Kriftel/Berlin. Bäumler, Helmut/von Mutius, Albert (1999): Datenschutzgesetze der dritten Generation. Texte und Materialen zur Modernisierung des Datenschutzrechts. Neuwied/Kriftel. Bizer, Johann (1998): Technikfolgenabschätzung und Technikgestaltung im Datenschutzrecht. In: Bäumler, Helmut (Hrsg.): 1998, S. 45 – 64. Bizer, Johann (1999): Datenschutz durch Technikgestaltung. In: Bäumler, H./ v. Mutius, A. (Hrsg.) 1999, S. 28 – 59. Bizer, Johann (2001): Ziele und Elemente der Modernisierung des Datenschutzrechts. In: DuD 5 /2001, S. 274 – 277. Büllesbach, Alfred (1997): Datenschutz bei Informations- und Kommunikationsdiensten. Gutachten im Auftrag der Friedrich-Ebert-Stiftung. Bonn. Büllesbach, Alfred/Garstka, Hansjürgen (1997): Systemdatenschutz und persönliche Verantwortung. In: Müller, Günter / Pfitzmann, Andreas (Hrsg.) (1997): Mehrseitige Sicherheit in der Kommunikationstechnik. Bonn u. a. 1997, S. 383 – 398. Büllesbach, Alfred (Hrsg.) (1997): Datenschutz im Telekommunikationsrecht. Deregulierung und Datensicherheit in Europa. Köln. Büllesbach, Alfred/Höss-Low. Petra (2001): Vertragslösung, Safe Harbor oder Privacy Code of Conduct. In: DuD 3/2001: S. 135 – 138. Booz, Allen & Hamilton (2000): Digital Spaltung. Studie für die Initiative D 21. Berlin 2000. DuD, Themenhefte der Fachzeitschrift Datenschutz und Datensicherheit: DuD 5/2000: Neues Datenschutzrecht. DuD 7/2000: Standards der Datensicherheit. DuD 8/2000: Datenschutz international. Enquete-Kommission (1998): »Zukunft der Medien in Wirtschaft und Gesellschaft – Deutschlands Weg in die Informationsgesellschaft«. Vierter Zwischenbericht: Sicherheit und Schutz im Netz. BT-Drs. 13/11002, Bonn 1998. Freundesgabe Büllesbach 2002 130 Tauss Heil, Helmut (2001): Datenschutz durch Selbstregulierung – Der europäische Ansatz. In: DuD 3/2001: S. 129 – 134. Huhn, Michaela/Pfitzmann, Andreas (1998): Verschlüsselungstechniken für das Netz. In: Leggewie, Claus /Maar, Christa (Hrsg.): Internet und Politik. Köln 1998, S. 438 – 455. Müller, Günter / Pfitzmann, Andreas (Hrsg.) (1997): Mehrseitige Kommunikation – Vertrauen in Technik durch Technik. In: Müller, Günter / Pfitzmann, Andreas (Hrsg.) (1997): Mehrseitige Sicherheit in der Kommunikationstechnik. Bonn u. a. 1997, S. 11 – 19. Rannenberg, Kai/Pfitzmann, Andreas/Müller, Günter (1997): Sicherheit, insbesondere mehrseitige Sicherheit. In: Müller, Günter / Pfitzmann, Andreas (Hrsg.) (1997): Mehrseitige Sicherheit in der Kommunikationstech-nik. Bonn u. a. 1997, S. 21 – 30. Roßnagel, Alexander (1997): Rechtliche Regelungen als Voraussetzung für Technikgestaltung. In: Müller, Günter/Pfitzmann, Andreas (Hrsg.): Mehrseitige Sicherheit in der Kommunikationstechnik. Bonn u.a. 1997, S. 361 – 382. Roßnagel, Alexander/Scholz, Philip (2000): Datenschutz durch Anonymität und Pseudonymität. In: MMR 12/2000, S. 721 – 731. Roßnagel, Alexander/Pfitzmann, Andreas/Garstka, Hansjürgen (2001): Modernisierung des Datenschutzrechtes. Gutachten im Auftrag des Bundesministeriums des Innern. Berlin. Simitis, Spiros (1998): Das Netzwerk der Netzwerke: Ein Markt jenseits aller Kontrollen? In: Leggewie, Claus /Maar, Christa (Hrsg.): Internet und Politik. Köln 1998, S. 183 – 193. Simitis, Spiros (2001): Auf dem Weg zu einem neuen Datenschutzkonzept, DuD 12/2001, 714 ff. Tauss, Jörg/Özdemir, Cem (2000): Umfassende Modernisierung des Datenschutzrechtes in zwei Stufen. In: Recht der Datenverarbeitung, RDV 4/2000, S. 143 – 146. Ulrich, Otto (1999): »Protection Profiles« – ein industriepolitischer Ansatz zur Förderung des »neuen Datenschutzes«. In: Europäische Akademie, Graue Reihe Bd. 17. Bonn 1999. Freundesgabe Büllesbach 2002 131 Alexander Roßnagel Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 1. Der Wert der Daten und des Datenschutzes Auf dem Weg in die Informationsgesellschaft gewinnen Informationen immer mehr an Wert. Dies gilt auch und erst recht für personenbezogene Daten. Für sie werden – je nach Sensitivität der Daten – beachtliche Summen geboten (s. zum wirtschaftlichen Wert personenbezogener Daten z. B. Brönneke/Bobrowski 2000; Weichert 2000; ders., DuD 2001, 264 ff.; ders., NJW 2001, 1463 ff.). Sie sind die Grundlagen für moderne – personalisierte – Methoden des Marketing und der Kundenbindung, ohne die viele Unternehmen meinen, nicht mehr existieren zu können. Personenbezogene Daten zu Kaufkraft, Kaufgewohnheiten und Kreditwürdigkeit werden zu aussagekräftigen Profilen gebündelt. Anhand von Bewertungsmodellen wird auf der Grundlage dieser Daten darüber entschieden, welcher Nutzen von dem Kunden für das Unternehmen noch zu erwarten ist und auf dieser Grundlage über Kontoführung, Kredite, Energieversorgung, Telekommunikation, Versicherungen und ähnliche Dienstleistungen sowie ihre Preise entschieden. Die Nachfrage nach personenbezogenen Daten nimmt ständig zu. Und umgekehrt wird diese Nachfrage immer öfter die Grundlage von Geschäftsmodellen, die solche Daten verkaufen oder vermieten. Zugleich werden auf dem Weg zur Informationsgesellschaft immer mehr Unternehmen in ihrem Erfolg abhängig vom Vertrauen ihrer Kunden. Dies gilt nicht nur für die Unternehmen, die – wie etwa Banken – schon immer sensitive Dienstleistungen verkauft haben. Dies gilt zunehmend auch für reine Produktverkäufer, weil sie nicht mehr nur Produkte verkaufen, sondern um die Produkte herum auch vielfältige Dienstleistungen. Diese Vertrauensabhängigkeit verschärft sich noch für die Internetwirtschaft, weil in ihr keine persönlichen Beziehungen geknüpft und damit keine Vertrauensanker durch unmittelbare Kommunikation geschaffen werden können (Fuhrmann 2001). Vertrauen entwickelt sich immer mehr zu einem entscheidenden Faktor für wirtschaftlichen Erfolg und nachvollziehbare Maßnahmen zum Datenschutz werden zu einem wichtigen Vertrauensfaktor. Datenschutz ist daher auch ein Wirtschaftsfaktor (ausführlich Büllesbach, RDV 1997, 239 ff.). Auch wenn es sich nicht unmittelbar auf Umsatz und Gewinn umrechnen lässt, ist es etwa für Versicherungen nicht ohne Folgen, dass sie hinsichtlich eines korrekten Umgangs mit personenbezogenen Daten nur das Vertrauen von 30 % der Bundesbürger genießen und damit zum Beispiel deutlich hinter dem Verfassungsschutz (41 %) rangieren. Was auf den ersten Blick nur als Imagefrage erscheint, kann sich in Zukunft zur Existenzfrage ausweiten. Wenn Versicherungen nicht zugetraut wird, Datenschutz auf Dauer zu garantieren, werden sich die Verbraucher nach anderen Sicherheiten umsehen oder umorientieren. Wer mit anvertrauten Daten nicht sorgsam umFreundesgabe Büllesbach 2002 132 Roßnagel gehen kann, wird in der Informationsgesellschaft des 21. Jahrhunderts einen schweren Stand haben (s. zum Verhältnis von Datenschutz und Vertrauen die empirischen Ergebnisse in Opaschowski 2002). Wenn die Verarbeitung personenbezogener Daten und die Gewährleistung informationeller Selbstbestimmung zu einem Wettbewerbsfaktor in der modernen Wirtschaft geworden sind, liegt es nahe, diese Entwicklung für den Datenschutz zu nutzen und den Wettbewerb für den Datenschutz fruchtbar zu machen (s.hierzu auch die Vorschläge in den Gutachten im Auftrag des Bundesinnenministeriums Roßnagel/Pfitzmann/Garstka 2001, 42, 45, 132 ff.; s. auch Weichert, DuD 2001, 265 ff.; ders., NJW 2001, 1465). 2. Neue Ziele des Datenschutzes Aber nicht nur die Bedeutung der Daten und des Datenschutzes für den Wettbewerb legt diesen Schluss nahe, sondern auch die Struktur der neuen Ziele des Datenschutzes. Neue Herausforderungen – wie die Globalisierung der Datenverarbeitung und die dynamische Entwicklung der Technik – fordern angemessene instrumentelle Zielsetzungen. Gegenüber diesen Herausforde1 rungen muss Datenschutz durch Technik erreicht werden. Datenschutz hat nur dann eine Chance, wenn die Entwicklung von Verfahren und die Gestaltung von Hard- und Software am Ziel des Datenschutzes ausgerichtet und Datenschutz so weit wie möglich in Produkte, Dienste und Verfahren integriert wird (Roßnagel, DuD 1999, 253 ff.). Durch Technik müssen alle normativen Ziele unterstützt werden – nicht nur die Abschottung und Kontrollfähigkeit der Datenverarbeitung, sondern auch die Prinzipien der Transparenz, der Vermeidung des Personenbezugs, der Erforderlichkeit, der Zweckbegrenzung und Zweckbindung, der Verantwortlichkeit und der Selbstbestimmung sowie die Wahrnehmung von Betroffenenrechten. Durch die Realisierung von Systemdatenschutz (ausführlich z. B. Büllesbach/Garstka 1997; Dix 2002) soll sichergestellt werden, dass die Datenverarbeitungsverfahren diese Ziele einhalten und einen Verstoß gegen sie möglichst gar nicht zulassen. Techniken des Selbstdatenschutzes sollen den Einzelnen in die Lage versetzen, seine informationelle Selbstbestimmung selbst zu schützen und durchzusetzen. Verantwortliche Stellen sollen das Ziel der Datensparsamkeit vor allem dadurch umsetzen, dass sie die Möglichkeit anonymen und pseudonymen Handelns anbieten und dadurch den Personenbezug der zu verarbeitenden Daten vermeiden (ausführlich Roßnagel 2002b; zu Regelungsvorschlägen s. Roßnagel/ Pfitzmann/Garstka 2001, 103 ff., 150 ff.). Diese neuen Ziele lassen sich aber kaum durch administrativen Datenschutz, durch Ge- und Verbote, erreichen. Staatlicher Zwang mobilisiert Widerstand und die Suche nach Umgehungsmöglichkeiten. Die genannten neuen Ziele sind aber letztlich nur umzusetzen, wenn die verantwortlichen Stellen ein eigenes Interesse daran haben. Ihr Wissen und ihr Engagement ist hierfür unverzichtbar. Daher muss ein modernes Datenschutzrecht RahmenbedinFreundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 133 gungen schaffen, die Anreize bieten und Eigeninteresse mobilisieren, diese Ziele zu realisieren. Ergänzend zu bestehenden Datenschutzregelungen muss es versuchen, Verbesserungen des Datenschutzes und der Datensicherheit ohne Zwang durch die Kräfte des Wettbewerbs zu erzielen. Es gilt, legitimen Eigennutz zur Verwirklichung von Gemeinwohlzielen zu nutzen (Roßnagel 2002c; Weichert, NJW 2001, 1465). Dabei kann es angesichts einer akzelerierend fortentwickelten Technik, immer neuen Geschäftsmodellen in der Verwertung personenbezogener Daten, kaum vorhersagbaren Anwendungsfeldern der netzgestützten und der ubiquitären Datenverarbeitung nicht darum gehen, isolierte Antworten auf einzelne Sachprobleme zu finden. Benötigt werden vielmehr Strukturlösungen. Erforderlich ist, in den verantwortlichen Stellen lernfähige Systeme zu etablieren, die auf ständig sich ändernde Herausforderungen immer wieder neue Antworten zu geben vermögen. Das Datenschutzrecht muss für die verantwortlichen Stellen Anreize bieten, Problembewusstsein auszubilden, Risiko- und Lösungswissen zu generieren und immer wieder Lernprozesse zur Verbesserung von Datenschutz und Datensicherheit zu initiieren. 3. Keine Eigentumsrechte an Daten Wenn nun überlegt wird, wie ein Wettbewerb um Datenschutz zu konzipieren ist, liegt es nahe, den betroffenen Personen ein Eigentum an »ihren« Daten zuzubilligen und Wettbewerb dadurch zu initiieren, dass die betroffenen Personen »ihre« Daten an Nachfrager »verkaufen« können. Ein solcher »Property Rights-Ansatz« wird für den Datenschutz tatsächlich propagiert (bspw. Ladeur, DuD 2000, 18; zu diesem zwar kritisch, aber dennoch Datenüberlassungsverträge propagierend Weichert, DuD 2001, 268; ders., NJW 2001, 1467). Eine solche Konzeption verkennt jedoch zutiefst die Grundstruktur personenbezogener Daten und der informationellen Selbstbestimmung. Sie taugt nicht für eine gesellschaftliche Ordnung im Umgang mit personenbezogenen Daten, die den Freiheitsrechten aller Beteiligten gerecht wird. Informationelle Selbstbestimmung kann nicht so verstanden werden, dass sie eine Herrschaft der betroffenen Person über »ihre« personenbezogenen Daten gewährleistet und ihr eine eigentumsähnliche Ausschluss- und Verfügungsmacht sichert. Ein solches Verständnis würde zum einen den objektivrechtlichen Gehalt der informationellen Selbstbestimmung als Funktionsvoraussetzung für eine Gesellschaft verkennen, die auf individueller Selbstbestimmung und freier 2 demokratischer Willensbildung ruht . Sie würde zum anderen aber auch verkennen, dass personenbezogene Daten mehrrelational sind. Als Modelle der Wirklichkeit haben sie immer einen Autor und ein Objekt. Sie haben eine Beziehung zum Objekt, aber auch zum Autor. Sie können nicht allein dem Objekt zugeordnet werden.3 Für ein mehrrelationales Wirklichkeitsmodell ist grundsätzlich keine Eigentumsäquivalenz gegeben. Datenschutzrecht regelt daher keine Eigentumsordnung, sondern eine Informations- und KommuFreundesgabe Büllesbach 2002 134 Roßnagel nikationsordnung, die bestimmt, wer in welcher Relation befugt ist, mit den Modellen über bestimmte Personen in einer bestimmten Weise umzugehen (s. hierzu auch Trute 2002, Rn. 19; Simitis 1987, 1475, 1489, insb. 1492; Hoffmann-Riem 1997, 779; ders. 1998, 11; ders., AöR 1998, 520; Trute, VVDStRL 57 (1998), 260; Pitschas, DuD 1998, 146 ff.; Schulz, Verwaltung 1999, 150). Datenschutz schützt daher nicht die betroffene Person als »Dateneigentümer«, sondern unterstützt sie als aktiven Interessen- und Entscheidungsträger im Rahmen dieser Informations- und Kommunikationsordnung. Informationelle Selbstbestimmung ist daher nicht in der Weise zu gewährleisten, dass ausschließlich die betroffene Person selbst über »ihre« Daten verfügt und sie demjenigen »verkauft«, der ihr den höchsten oder einen ihr ausreichenden Preis bietet. Die personenbezogenen Daten sind nicht nur Daten der betroffenen Person, sondern ebenso der Stelle, die die Daten erhoben oder verarbeitet hat. So sind Daten über eine medizinische Behandlung zugleich auch Daten über die Leistung des Arztes, die dieser benötigt, um seinen Leistungsanspruch zu begründen und abzurechnen, um seine ärztliche Dokumentationspflicht zu erfüllen und im Streitfall eine ordnungsgemäße Behandlung nachweisen zu können. Eine ausschließliche Verfügungsbefugnis als Grundlage für eine Konzeption des Datenschutzes als Eigentumsordnung kann es daher nicht geben (Roßnagel/Pfitzmann/Garstka 2001, 37 f.). 4. Marktwirtschaft und Privatautonomie Vielmehr ist die Grundvoraussetzung, um marktwirtschaftlichen Wettbewerb im Datenschutz zu realisieren, dessen Grundprinzip, die Privatautonomie, auch im Datenschutzrecht konsequent umzusetzen. In diesem Sinn muss die informationelle Selbstbestimmung nicht nur im Verfassungsrecht, sondern auch im einfachen Datenschutzrecht als die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen (BVerfGE 65,1), zur Grundregel werden: Die Entscheidungsprärogative der betroffenen Person wird am besten gewahrt, wenn die Einwilligung zum vorrangigen Legitimationsgrund der Datenverarbeitung wird (Roßnagel/Pfitzmann/Garstka 2001, 72 ff.). 4 Im nichtöffentlichen Bereich müssen daher die Erlaubnistatbestände zur zwangsweisen Datenverarbeitung durch das »Opt-in-Prinzip«5 ersetzt werden. Hier kann grundsätzlich nur der freie Wille der betroffenen Person die Grundlage für die Verarbeitung personenbezogener Daten sein. Dies gilt auch für die Änderung des Verarbeitungszwecks oder die Übermittlung von Daten und damit insbesondere für die Zwecke der Markt- und Meinungsforschung, der Werbung und des Marketing (s. z.B. bereits § 89 Abs. 7 Satz 1 TKG; § 14 Abs. 2 MDStV), den Handel mit Adressen oder das Veröffentlichen von Verzeichnissen. In einer Marktwirtschaft vermag allein das unternehmerische Interesse einer Partei nicht zu rechtfertigen, die Entscheidungsprärogative der anderen Partei zu übergehen oder gar zu missachten. Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 135 Die Anerkennung der Entscheidungsbefugnis des betroffenen Vertragspartners führt auf das Grundmodell des Vertragsrechts zurück: Die Rechte einer Partei gegenüber der anderen können nicht über das hinausgehen, was diese ihr konkret zugestanden hat (zum Zusammenhang mit dem Recht der Willenserklärungen Weichert, DuD 2001, 264 ff.; Bizer, DuD 2001, 276 f., ders. DuD 1998, 552). Es bleibt den verantwortlichen Stellen – ganz im Sinn der Marktwirtschaft – überlassen, für ihr Anliegen – unter Darlegung ihrer Datenschutzmaßnahmen – zu werben und die betroffene Person zu gewinnen, ihnen die Verarbeitung ihrer Daten zu erlauben oder gar mit ihnen vertraglich zu vereinbaren (so sind wohl die Datenüberlassungsverträge im Sinn von Weichert, DuD 2001, 268; ders., NJW 2001, 1467 zu verstehen). In der Wirtschaft gelten in vielen Bereichen Opt-in-Lösungen bereits als »professionell«. So heißt es zum Beispiel für die Gewinnung von Daten jenseits von vertraglich erforderlichen Daten etwa für Werbung und Marketing: »Kunden- und wettbewerbsorientiert handelnde Datenschutzverantwortliche werden generell auf die Anwendung transparenter Opt-in-Prozeduren hinwirken« (Kranz 2002, Rn. 10). Die durch das »Opt-in-Prinzip« geforderte Datenschutzkommunikation zwischen verantwortlichen Stellen und betroffenen Personen ist eine Chance der Vertrauenswerbung. Datenschutz wird zu einem immer wichtigeren Qualitätsmerkmal für Vertrauensbeziehungen. Erst ein wirksamer – und kommunizierter – Datenschutz ermöglicht es, die hoffnungsvollen Prognosen des ECommerce zu erreichen und – nebenbei bemerkt – ebenso eine Verwal-tungsmodernisierung unter Mitwirkung der Bürger durchzuführen. Wird der Kunde um seine Einwilligung zur Datenverarbeitung gebeten und wird ihm erläutert, wofür er diese Einwilligung geben kann, wird dies die Vertrauensbeziehung zwischen verantwortlicher Stelle und betroffener Person erheblich stärken. »Opt-in« kann in zwei Formen erfolgen, die den sonstigen Handlungsformen der Marktwirtschaft entsprechen. Einmal kann die betroffene Person ihre Einwilligung ausdrücklich erklären. Allerdings ist zu beachten, dass zwischen der verantwortlichen Stelle und der betroffenen Person oft ein erhebliches faktisches Machtgefälle besteht, durch das die Einwilligung zum Einfallstor »diktierter« Verarbeitungsbedingungen werden kann. Daher kommt es darauf an, die Freiwilligkeit durch gesetzliche Rahmenregelungen abzusichern, vor Übereilung zu schützen und eine prüffähige Rechtsgrundlage zu gewährleisten (s. zu den hierfür notwendigen Maßnahmen Roßnagel/Pfitzmann/Garstka 2001, 92 ff.). Insbesondere wird es wichtig sein, für Formulareinwilligungen verbindlich echte Wahlmöglichkeiten des Einwilligenden einzufordern. Zum anderen erfolgt »Opt-in« durch den Abschluss eines Vertrags oder das Eingehen eines vertragsähnlichen Vertrauensverhältnisses. In diesem Fall wird durch das von der betroffenen Person freiwillig gesuchte Verhältnis diejenige Datenverarbeitung legitimiert, die zur Erfüllung des Verhältnisses erforderlich ist. Eine zwangsweise Datenverarbeitung gegen den Willen der betroffenen Person sollte im nichtöffentlichen Bereich nur noch dort möglich sein, wo das »Opt-in-Prinzip« nicht funktionieren kann, wo es also der verantwortlichen Freundesgabe Büllesbach 2002 136 Roßnagel Stelle nicht möglich ist, für ihre Verarbeitung der personenbezogenen Daten zu werben, zu überzeugen und die Einwilligung der betroffenen Person zu erreichen. Zur Umschreibung dieser Ausnahmefälle ist jedoch der bisher die Datenverarbeitung steuernde Begriff des »berechtigten Interesses« zu weit. Er macht marktwirtschaftlichen Datenschutz unmöglich. Ausnahmen sollten vielmehr nur erlaubt sein, wenn dies zum Schutz oder zur Verfolgung eigener Rechte oder Rechte Dritter notwendig ist, oder wenn es erforderlich ist, um eine Gefahr für Leben, Gesundheit oder sonstige bedeutende Rechtsgüter der betroffenen Person zu beseitigen und die betroffene Person ihre Zustimmung nicht geben kann, oder wenn die Datenverarbeitung erforderlich ist, um Verpflichtungen zu erfüllen, die durch Rechtsvorschriften der verantwortlichen 6 Stelle auferlegt wurden. Durch eine normative Aufwertung der Einwilligung wird auch ein erwünschter Nebeneffekt für die notwendige Vereinfachung des Datenschutzrechts bewirkt. Wird die Zulässigkeit der Datenverarbeitung grundsätzlich an die Einwilligung der betroffenen Person geknüpft, ist auch eine Entlastung des Datenschutzrechts und eine Einschränkung seiner Normenflut und Überdifferenzierung möglich. Der Gesetzgeber muss dann nicht mehr für alle Fälle die Konfliktlösung selbst festlegen, sondern kann sie vielfach der autonomen Konfliktlösung der Parteien überlassen. 5. Markttransparenz Sowohl informationelle Selbstbestimmung als auch Wettbewerb erfordern Transparenz. Eine informierte Einwilligung setzt eine ausreichende Unterrichtung über die Bedingungen der Datenverarbeitung voraus. Damit die betroffene Person wissen kann, »wer was wann und bei welcher Gelegenheit über sie weiß« (BVerfGE 65, 1 (43), sollten personenbezogene Daten grundsätzlich bei ihr erhoben werden. Ist dies nicht möglich, muss sie sobald wie möglich unterrichtet werden (Roßnagel/Pfitzmann/Garstka 2001, 82 ff.). Ein besonders wirksames Mittel des Wettbewerbs sind allgemein zugängliche Datenschutzerklärungen der verantwortlichen Stellen. Sie sind als »Privacy Statements« zumindest für den Online-Bereich internationaler Standard. In diesen können die verantwortlichen Stellen ihre Datenverarbeitungs7 und Datenschutzpraxis darstellen und vor allem über die Struktur und Zwecksetzung ihrer Datenverarbeitung unterrichten. In individuellen Unterrichtungen können sie auf diese verweisen. Interessierte Kunden können mit ihrer Hilfe die Bedingungen der Datenverarbeitung vergleichen (Weichert, DuD 2001, 268 f.). Wer ein Buch kaufen will, will nicht zuvor drei eng beschriebene Seiten in ziselierter Juristensprache lesen. Noch weniger wird er dazu bereit sein, wenn er nur eine Webseite besuchen will. Von den Möglichkeiten, sich über Datenverarbeitungsgrundsätze und praktizierten Datenschutz zu informieren, wird daher selten Gebrauch gemacht. Dennoch ist es wichtig, die Möglichkeit hierFreundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 137 zu zu bieten. Allerdings führt die nicht wahrgenommene Information noch nicht zu Wettbewerb. Um diesen anzuregen, ist eine Automatisierung der Transparenz notwendig. Für den Nutzer wäre es sehr hilfreich, wenn die Informationen über die Datenverarbeitung im Hintergrund verarbeitet würden, ohne dass er ihnen im Regelfall besondere Aufmerksamkeit schenken muss. Dies ist möglich. Wird die Datenschutzerklärung auf der Website veröffentlicht, kann für die Datenschutzkommunikation zwischen datenverarbeitender Stelle und betroffener Person der weltweite Datenschutzstandard »Plattform 8 for Privacy Preferences (P3P)« des World Wide Web Consortiums genutzt werden. Publiziert die verantwortliche Stelle eine Datenschutzerklärung im WWW, die dem P3P-Standard entspricht, kann der Nutzer seine Datenschutzpräferenzen im Hintergrund automatisiert mit der veröffentlichten Datenverarbeitungspraxis der verantwortlichen Stelle abgleichen. Seine P3PSoftware kann ihm dann »grünes Licht« signalisieren oder ihn vor unzumutbaren Bedingungen warnen. Er kann dann im Sinn der Grundregel des »Notice and Choice« entscheiden, ob er die Bedingungen akzeptiert oder die Verbindung zu der verantwortlichen Stelle abbricht (s. zur technischen Unterstützung von Transparenz näher Hansen 2002, Rn. 96). Eine Kommunikation über Datenschutzbedingungen ermöglicht die im April 2002 verabschiedete Fassung von P3P noch nicht. Als Mittel des Wettbewerbs würde P3P noch effektiver wirken, wenn es in den künftigen Versionen zu einem echten Kommunikationsstandard fortentwickelt würde (eine differenziertere Aushandlung bietet z.B. SSONET, Pfitzmann/Schill/ Westfeld/Wolf 2000). Im Idealfall sollte der P3P-Standard zum Beispiel Verhandlungen darüber ermöglichen, wie die personenbezogenen Daten verwendet werden, ob und in welchem Umfang überhaupt personenbezogene Daten nötig sind und welche Pseudonyme verwendet werden. Transparenz kann auch die Grundlage für das marktwirtschaftliche Angebot von Datenschutzdienstleistungen sein. In USA beispielsweise bieten sich neu entstandene Unternehmen, Infomediaries (Begriff von Hagel/Singer 1999; s. auch Cranor 1999, 19 ff.), als Datentreuhänder an. Ihre Geschäftsidee beruht darauf, dass sie über die entsprechende Technologie und über Vertrauen beider Seiten verfügen, um einerseits personenbezogene Daten der Nutzer sicher verwalten zu helfen und andererseits Regeln des Datenaustauschs zwischen Nutzern und Web-Diensten durchzusetzen. Den Nutzern versprechen die Infomediaries Schutz vor unbemerkter und unfairer Datenweitergabe, Transparenz der Datenübermittlung und Kontrolle über ihre Daten. Sie analysieren Web-Angebote für Kunden auf ihre Datenschutzpolitik hin – dies kann mit P3P 9 automatisiert erfolgen – und ordnen diese in Rating-Skalen ein. Durch Bündelung von Nutzerinteressen können Infomediaries eine höhere Marktmacht entwickeln und dadurch bessere Bedingungen und Erlöse erzielen als vereinzelte Nutzer, um so mehr, wenn diese schlecht informiert und mangelhaft mit Technik ausgestattet sind. Den Web-Diensten versprechen Infomediaries mehr und korrekte Daten. Sie finanzieren ihre Aktivitäten, indem sie die Daten als Freundesgabe Büllesbach 2002 138 Roßnagel pseudonyme Nutzerprofile oder anonymisiert als statistisches Forschungsmaterial verkaufen. Zum Teil beteiligen sie die Nutzer sogar am Verkauf der Daten (für Deutschland z.B. www.cocus.de; hierzu Köhntopp/Pfitzmann 2000, 316 ff.). Infomediaries unterstützen allerdings nicht nur den Datenschutz, sondern bergen für diesen auch erhebliche Risiken. So erzeugen sie wachsende Ströme personenbezogener Daten und kehren damit die Zielrichtung datensparsamer Technikentwicklung um. Die Vermittlung personenbezogener Daten bildet immerhin ihren Geschäftszweck. Außerdem bauen sie zentrale Großlager personenbezogener Daten auf, die durch Hacker, durch korrumpierte Insider, durch löchrige Geschäftspraktiken oder staatliche Beschlagnahme gefährdet sein können. Rechtliche Transparenzanforderungen sind nicht in der Weise zu verstehen, dass der betroffenen Person künftig viele Prüfpflichten auferlegt werden, um ihre Rechte geltend zu machen. Auch für eine nachlässige und uninteressierte Person muss ein Mindestmaß an Datenschutz – vor allem durch Systemdatenschutz – gewährleistet sein. Auch muss sie sich auf eine gewisse Kontrolle durch Aufsichtsbehörden oder Verbände verlassen können. Allerdings setzen Mitwirkung und Selbstdatenschutz ein gewisses Mindestmaß an Kenntnis und Interesse hinsichtlich der Datenverarbeitung voraus. Die Transparenzanforderungen sollen diese ermöglichen. Dabei ist zu beachten, dass die Transparenzmaßnahmen Anknüpfungspunkte für technische Verfahren (P3P) oder Dienstleistungen (Infomediaries) sind, die – im Wettbewerb – für die betroffene Person Kontrollen durchführen und ihre Interessen durchsetzen. 6. Datenschutzaudit als Vertrauensanker Der Markt benötigt verlässliche Informationen. Die Aussagen zu Datenschutzanstrengungen in Datenschutzerklärungen können in ihrer Werbewirkung verstärkt werden, wenn sie in nachprüfbarer Weise ausgezeichnet werden. Dies soll mit einem Datenschutzaudit ermöglicht werden. Es belohnt verantwortliche Stellen, die ihren Datenschutz verbessern, mit der abgesicherten Möglichkeit, im Wettbewerb um das Vertrauen Dritter ein Auditzeichen zu führen, das die von einem zugelassenen Datenschutzgutachter überprüften Datenschutzanstrengungen bestätigt (Roßnagel 2000; Roßnagel/Pfitzmann/Garstka 2001, 132 ff.; zum Behördenaudit s. Golembiewski 2002). Diese Auszeichnung soll sowohl die »Anspruchsgruppen« – wie Kunden, Vertragspartner, Mitarbeiter, Banken, Versicherungen, Anteilseigner, Behörden, Presse, Parteien und die interessierte Öffentlichkeit – als auch die Konkurrenten beeindrucken. Sie soll als Diskriminierungsmerkmal am Markt dienen. Durch die Prämierung werden marktgerechte Anreize geschaffen, nachprüfbare Ergebnisse zur Verbesserung von Datenschutz und Datensicherheit zu präsentieren. Nehmen wichtige Akteure einer Branche am Datenschutzaudit teil, entsteht ein Wettbewerbsdruck für alle Konkurrenten, dies ebenfalls zu tun und ihren Datenschutz nachprüfbar zu verbessern. Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 139 Zielsetzung des Datenschutzaudits ist die freiwillige Überprüfung des Datenschutzmanagementsystems (s. zur Zusammenfassung bestehender Datenschutzpflichten zu einem Datenschutzmanagement näher Roßnagel/Pfitzmann/ Garstka 2001, 130 ff.) hinsichtlich seiner Eignung, flexibel auf die rasanten Veränderungen der Informations- und Kommunikationstechniken zu reagieren und die sich dadurch immer wieder neu stellenden Herausforderungen für den Datenschutz zu meistern. Daher zielt das Datenschutzaudit nicht auf eine einmalige Evaluierung, sondern auf die Fähigkeit, immer wieder neue Lösungen zu generieren, und daher auf die kontinuierliche Verbesserung des Datenschutzmanagementsystems. Die Prüfung verwendet zwei Maßstäbe: einen objektiven, für alle gleichen Maßstab, nämlich die Erfüllung der Anforderungen des Datenschutzrechts, und einen subjektiven, nämlich eine Verbesserung der Anstrengungen zum Datenschutz, die über den objektiven Maßstab hinausgeht und die sich nach den individuellen Möglichkeiten der verantwortlichen Stelle bestimmt. Von der selbstverständlichen Verpflichtung zur Einhaltung der geltenden Rechtsvorschriften abgesehen, bestimmen die verantwortlichen Stellen die inhaltlichen Anforderungen des Datenschutzaudits in Form von Selbstverpflichtungen selbst. Gefordert werden sollte nur, dass diese Anstrengungen auf eine kontinuierliche Verbesserung des Datenschutzes und der Datensicherheit gerichtet sein und den wirtschaftlich vertretbaren Einsatz der besten verfügbaren Technik vorsehen müssen. Mit diesen beiden subjektiven Kriterien soll die Zielgerechtigkeit der Selbstverpflichtungen gewährleistet und die Vergleichbarkeit der zusätzlichen Anstrengungen aller Teilnehmer ermöglicht werden. Welche Anforderungen sich daraus für die verantwortliche Stelle ergeben, bestimmt diese in eigener Verantwortung (näher Roßnagel 2000, 84 ff.). Es bietet sich an, Empfehlungen für Selbstverpflichtungen im Rahmen branchenbezogener Selbstregulierung zu erarbeiten (Arbeitskreises Datenschutzaudit Multimedia, DuD 1999, 285). Das Datenschutzaudit sollte für die verantwortlichen Stellen mit möglichst wenig zusätzlichem Verwaltungsaufwand verbunden sein. Zugleich muss aber auch die erforderliche Zielgerechtigkeit des Verfahrens und der Kriterien, die notwendige Transparenz und Vergleichbarkeit der Prüfergebnisse sowie die Rechtssicherheit für die Werberegeln gewährleistet sein. Für die Wahl des geeigneten Verfahrens kommt es vor allem darauf an, welche verantwortlichen Stellen als Zielgruppe angesehen werden. Von ihnen muss erwartet werden, dass sie das Angebot eines Datenschutzaudits annehmen und mit ihrem Vorbild andere Stellen nachziehen. Wie auch beim Umweltschutzaudit ist diese Zielgruppe eher in den etablierten und größeren Unternehmen zu sehen als in Internet-Start-Up-Unternehmen. Sie haben sowohl das Interesse als auch die Kapazität, ein Audit durchzuführen. Außerdem haben sie die erforderliche wirtschaftliche Bedeutung, um für andere verantwortliche Stellen als Vorbild zu wirken. Da diese verantwortlichen Stellen in der Regel be10 reits an Qualitäts- und Umweltschutzaudits nach internationalen Normen teilnehmen, wird die Einführung des Datenschutzaudits erleichtert und sein Freundesgabe Büllesbach 2002 140 Roßnagel Verwaltungsaufwand reduziert, wenn es an die in den Unternehmen bereits bestehenden Managementsysteme angepasst wird (Verfahrens- und Regelungsvorschlag bei Roßnagel/Pfitzmann/Garstka 2001, 135, 140 ff.). Nimmt die verantwortliche Stelle erfolgreich am Datenschutzaudit teil, ist sie berechtigt, ein Datenschutzzeichen für Werbezwecke zu nutzen. Dieses Logo kann sie für die Kommunikation mit der Öffentlichkeit, insbesondere für Vertrauenswerbung nutzen. Ein gesetzlich geschütztes Zeichen für die überprüfte Selbstverpflichtung zur Einhaltung aller rechtlichen Datenschutzanforderungen und zu weitergehenden Anstrengungen zur kontinuierlichen Verbesserung des Datenschutzes und der Datensicherheit bietet tatsächlich eine Grundlage, dem Unternehmen Vertrauen entgegenzubringen. Um die Verbreitung des Datenschutzaudits zu unterstützen, sollten verantwortliche Stellen, die an diesem teilnehmen, bevorzugt berücksichtigt werden, wenn es um Aufträge zur Verarbeitung personenbezogener Daten geht. Zumindest für öffentliche Stellen sollte diese Berücksichtigung zur Pflicht 11 erhoben werden. Als Erleichterungen für die Teilnehmer am Datenschutzaudit sollte vorgesehen werden, dass sie ihr Prüfergebnis an Stelle des Organisationsplans und des Datenschutz- und Datensicherheitskonzepts im Rahmen eines verbindlichen Datenschutzmanagements verwenden können. 7. Produktzertifizierung als Qualitätssiegel Recht und Technik müssen zur Gewährleistung des Datenschutzes eine Allianz eingehen. Durch entsprechende rechtliche Rahmenbedingungen muss zu erreichen versucht werden, dass Datenschutz so weit wie möglich in Produkte, Dienste und Verfahren integriert wird (Roßnagel 2001). Datenschutz durch Technik ist oft die einzig mögliche Antwort auf Probleme der Globalisierung der Datenflüsse, der dynamischen Technikentwicklung und der Zunahme der Datenverarbeitung bis hin zu ihrer Allgegenwärtigkeit (s. zu den Datenschutzproblemen der Ubiquitons Computing Mattern/Langheinrich 2001). Je mehr der Datenschutz dem Einflussbereich des nationalen Gesetzgebers entschwindet, desto mehr muss Datenschutz weltweit wirksam werden. Dies ist mangels einer wirksamen Weltrechtsordnung nur dann möglich, wenn er in die Technik eingelassen ist. Dieser Weg bietet zwei Vorteile: Datenschutztechniken sind – im Gegensatz zu Datenschutzrecht – weltweit wirksam und Technikunternehmen sind – im Gegensatz zu Gesetzgebern – sehr schnell lernende Systeme. Beide Vorteile lassen sich nutzen, wenn es gelingt, für Datenschutztechnik einen Markt zu entwickeln. Wenn sich Datenschutztechnik verkauft, wird sie sich ebenso dynamisch entwickeln wie neue technische Herausforderungen für den Datenschutz (Roßnagel, DuD 1999, 253 ff.). Für den Markt muss aber bekannt sein, welche Produkte datenschutzgerecht oder datenschutzförderlich sind. Damit deren spezifische Datenschutzund Datensicherheitseigenschaften zu einem Wettbewerbsvorteil werden, sollte das künftige Datenschutzrecht eine Produkzzertifizierung anbieten Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 141 (zum Zusammenhang zwischen Produkttransparenz und Verbraucherschutz s. Weichert, DuD 2001, 268 f.). Deren »Gütesiegel« muss ein verlässliches Unterscheidungsmerkmal für die Marktnachfrage bieten. Während das Datenschutzaudit das Datenschutzmanagement einer verantwortlichen Stelle in einem Systemaudit evaluiert, bezieht sich die Zertifizierung von Hard- und Software sowie von automatisierten Verfahren ausschließlich auf ein Produkt. Die Produktzertifizierung zielt daher nicht auf die wiederholte Überprüfung und Bewertung von Anstrengungen zur Verbesserung des Datenschutzes, sondern um die einmalige Bewertung der Datenschutz- und Datensicherheitseigenschaften einer bestimmten Version eines 12 Produkts . Datenschutzaudit und Produktzertifizierung sollten auch deshalb klar unterschieden werden, weil sie unterschiedliche Interessenten betreffen. Die Produktzertifizierung erfolgt auf Antrag des Herstellers oder Anbieters. Es macht wenig Sinn, wenn die vielen tausend Anwender eines Datenverarbeitungssystems oder -programms dieses viel tausendfach zertifizieren las13 sen. Vielmehr sollte allein der jeweilige Hersteller oder Anbieter für das System oder Programm eine einzige Zertifizierung erhalten, auf die sich dann alle Anwender verlassen können. Die verantwortlichen Stellen sollten – soweit vorhanden – zertifizierte Datenverarbeitungssysteme und -programme in ihrer Datenverarbeitung einsetzen. Verwenden sie zertifizierte Produkte, sollte eine Vermutung bestehen, dass mit ihrer richtigen Verwendung die jeweils relevanten Anforderungen des Datenschutzes erfüllt sind. Anforderungen an die Produkte sollten sich vor allem aus den Kriterien ergeben, die von den Herstellern bei der Prüfung für die Entwicklung und Herstellung zu beachten sein sollten (Roßnagel/Pfitzmann/Garstka 2001, 143 ff.). Diese sollten anwendungsspezifisch vom Hersteller zusammen mit dem Prüfer etwa in Form von »Protection Profiles« entsprechend den »Common Criteria« präzisiert werden. Soweit dies möglich ist, sollten Vertreter der Anwender und Nutzer an der Erstellung der »Profiles« beteiligt werden. Zumindest sollte ihnen Gelegenheit hierzu gegeben werden. Wird das Zertifikat zur Werbung für das Produkt verwendet, ist auf das »Profile« hinzuweisen. Es ist der Öffentlichkeit zugänglich zu machen, insbesondere dadurch, dass ein einfacher Zugriff im Rahmen elektronischer Medien ermöglicht wird. Die Prüfung der Produkte sollte – wie beim Datenschutzaudit – von privaten Gutachtern durchgeführt werden, deren Zuverlässigkeit, Unabhängigkeit und Fachkunde durch Zulassung und Kontrolle gewährleistet sein muss. Die Zulassung der Gutachter könnte zum Beispiel nach § 36 GewO erfolgen oder wie in Schleswig-Holstein dem Landesdatenschutzbeauftragten übertragen werden. Das Siegel sollte nicht vom Gutachter, sondern von einer dritten Stelle vergeben werden, die die Korrektheit des Gutachtens und der Arbeit des Gutachters überprüft. Hierfür kämen – wie dies in Schleswig-Holstein praktiziert wird – der Landesdatenschutzbeauftragte oder eine andere Stelle wie etwa die Industrie- und Handelskammern in Frage. Im zweiten Fall wäre dem Datenschutzbeauftragten Gelegenheit zu Einwendungen zu geben. Freundesgabe Büllesbach 2002 142 Roßnagel Anzustreben ist eine Produktzertifizierung, die nicht erst nach dem Markteintritt eines Produkts beginnt, sondern bereits entwicklungsbegleitend erfolgt. Schon die Entwicklungsabteilungen der Hersteller wären so gehalten, datenschutzfördernde Techniken in die Produktgestaltung aufzunehmen. Verbesserungen der Produkte, die erst nachträglich versuchen, Datenschutz zu integrieren, wären nicht mehr notwendig. Darüber hinaus könnten Hersteller von Beginn an mit dem Zertifikat werben. Da das Datenschutzrecht auf die Verbreitung datenschutzgerechter Produkte angewiesen ist, muss es auch deren Absatz fördern. Daher sollte für verantwortliche Stellen des öffentlichen Bereichs die Verpflichtung vorgesehen werden, bei der Gestaltung von Prozessen zur Verarbeitung personenbezogener Daten vorrangig datenschutzfördernde Produkte zu verwenden (zur Zulässigkeit Petri, DuD 2001, 150). Hierdurch würde die Vorbildfunktion des Staats in der Weise angesprochen, dass er mit gutem Beispiel vorangehen sollte, wenn es darum geht, Belange des Datenschutzes bei der Beschaffung zu berücksichtigen. Die Verwendung datenschutzgerechter oder datenschutzfördernder Produkte durch staatliche Stellen kann bei Bürgern und Unternehmen einen Nachahmungseffekt bewirken, wenn sie sehen, dass es möglich und umsetzbar ist, datenschutzgerechte Produkte zu verwenden. Die gezielte Nachfrage durch die öffentliche Hand kann darüber hinaus den Bekanntheitsgrad und den Marktanteil datenschutzgerechter Produkte fördern und damit ihre Markteinführung und Diffusion ermöglichen oder beschleunigen. 8. Wettbewerb und Selbstregulierung Für den Datenschutz wird Selbstregulierung eine steigende Bedeutung gewinnen (zu Modellen und Chancen der Selbstregulierung s. Roßnagel 2002 c). Selbstregulierung ermöglicht es der Wirtschaft, relativ schnell passgerechte branchen- oder unternehmensbezogene Regelungen zu entwickeln. Sie kann insbesondere eine globalisierte Datenverarbeitung vereinfachen, wenn ihre 14 Regelungen weltweite Anwendung finden . Selbstregulierung bietet die Chance, für die gefundenen normativen Vorgaben leichter die Akzeptanz bei den direkten Regelungsadressaten zu finden und erleichtert die Durchsetzung 15 des Datenschutzrechts . Ein weiterer Vorteil der Selbstregulierung kann die Mobilisierung von Sachverstand und die Gewinnung von Informationen sein, die nur von den Beteiligten selbst eingebracht und eingearbeitet werden kön16 nen . Trotz vieler Risiken (Roßnagel 2002b, Rn. 60 ff. mwN.) ist Selbstregulierung notwendig und unvermeidbar. Selbstgesetzte Verhaltensregeln begründen neue Rahmenbedingungen für den Wettbewerb, die sich zwiespältig auswirken können. Einerseits setzt Selbstregulierung oft voraus, dass alle oder mindestens die wichtigsten Angehörigen des betroffenen Markts diese anwen17 den . In solchen Situationen sichern die Unternehmen das von allen Mitbewerbern gewünschte Verhalten durch gegenseitige Verpflichtungserklärungen Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 143 ab. Andererseits ermöglicht Selbstregulierung, die für Wirtschaft und den Wettbewerb passenden Regelungen zu finden. In der Regel beschreiben diese den kleinsten gemeinsamen Nenner, damit alle Mitglieder eines Verbands die Verhaltensregeln auch einhalten können. Auf deren Grundlage bleibt dann ein Wettbewerb um mehr Vertrauen durch Datenschutz ebenso möglich wie auf der Basis einer gesetzlichen Regelung. Horizontale Vereinbarungen zwischen Unternehmen können wettbewerbsbeschränkende Wirkung haben und sind daher grundsätzlich nach § 1 GWB unzulässig (Roßnagel 2002c, Rn. 148 f.). Ob dies auch für staatlich initiierte Absprachen zur Umsetzung von Allgemeininteressen gilt, ist umstritten. Überwiegend wird vertreten, dass das Kartellverbot nach § 1 GWB nicht zur Anwendung kommt, wenn der vom Staat inspirierte Inhalt der Abrede aufgrund einer speziellen gesetzlichen Ermächtigung in einem Gesetz festgelegt würde (z. B. Kloepfer, JZ 1980, 788; Baudenbacher, JZ 1988, 694; Brohm, DÖV 1992, 1027). Das Gleiche soll nach dieser Meinung auch bei staatlich inspirierten horizontalen Abreden gelten, die staatliche Regelungen der Wirtschaftslenkung ersetzen. Da staatliche wirtschaftslenkende Maßnahmen aus dem Kartellrecht ausgenommen sind, fallen nach dieser Meinung auch entsprechende Abreden zwischen den Unternehmen nicht unter das Kartellrecht. Über sie kann der Staat als Inspirator der Abrede kein Unrechtsurteil aussprechen. Das Kartellrecht habe keine Kontrollfunktion gegenüber staatlicher Wirtschaftslenkung, sondern lediglich gegenüber priva18 ten »wirtschaftslenkenden« Maßnahmen . In dieser Situation erscheinen drei Regelungen angebracht: Zum einen ist – auch zur Sicherstellung der Gesetzeskonformität der selbstgesetzten Verhaltensregeln – deren Anerkennung durch die datenschutzrechtliche Kontrollstelle vorzusehen (ausführlich Roßnagel/Pfitzmann/Garstka 2001, 159 ff.). Dabei sollte die Kontrollstelle sicherstellen, dass ein Offenhalten des Datenschutzwettbewerbs gewährleistet ist. Zum anderen sollte aber im GWB klargestellt werden, dass privatrechtliche Absprachen, die zur Umsetzung von Verhaltensregeln erforderlich sind, nicht am Wettbewerbsrecht scheitern. Drittens sollte vorgesehen werden, dass solche horizontalen Verträge der zuständigen Kontrollstelle und der Kartellbehörde anzuzeigen sind. Die Kartellbehörde kann dann eventuell erforderliche Maßnahmen ergreifen. Sie wird hierzu sinnvoller Weise die Stellungnahme der zuständigen Kontrollstelle einholen. 9. Schutz gegen unlauteren Wettbewerb Datenschutz durch Wettbewerb setzt auch eine Kontrolle und Sicherstellung des Wettbewerbs voraus. Insbesondere muss verhindert werden, dass mit Datenschutz unlauterer Wettbewerb betrieben wird. Wie im allgemeinen Lauterkeitsrecht sollte auch in diesem Bereich eine Kontrolle durch gesellschaftliche Akteure – im Sinn einer wirtschaftlichen Selbstkontrolle – in der Form ermöglicht werden, dass Wettbewerber und anerkannte Verbände die Freundesgabe Büllesbach 2002 144 Roßnagel Unterlassung datenschutzrechtswidriger Praktiken geltend machen können. Zum einen sollte hierfür sichergestellt werden, dass Wettbewerber den Verstoß gegen Datenschutzpflichten im Rahmen einer privatrechtlichen Konkurrentenklage als unlauteren Wettbewerbsvorteil geltend machen können. Ob Datenschutzverstöße nach geltendem Recht die beiden General19 klauseln der §§ 1 und 3 UWG erfüllen können, blieb bisher umstritten. Durch eine kleine Ergänzung des § 3 UWG sollte klargestellt, dass dies möglich ist, wenn der Datenschutzverstoß durch eine Handlung im geschäftlichen Verkehr begangen wurde (Roßnagel/Pfitzmann/Garstka 2001, 204). Neben einer privatrechtlichen sollte auch eine an § 13 UWG angelehnte öffentlich-rechtliche Konkurrentenklage möglich sein (zur Einfügung dieser Forderung in die Struktur des VWG und zu einem Formulierungsvorschlag in Roßnagel/Pfitzmann/Garstka 2001, 204 f.). Mit dieser sollen Wettbewerber die verwaltungsgerichtliche Überprüfung der Rechtmäßigkeit behördlicher Maßnahmen oder Unterlassungen beantragen können. Voraussetzung für die Klage ist, dass der Kläger geltend macht, dass die behördliche Maßnahme oder das behördliche Unterlassen geeignet ist, den Wettbewerb zu seinem Nachteil zu beeinträchtigen. Diese Beeinträchtigung muss dadurch erfolgen, dass der andere Wettbewerber gegen abschließend bestimmte datenschutzrechtliche Pflichten verstößt. Der Kläger muss zu dem anderen Gewerbetreibenden in einem Wettbewerbsverhältnis stehen, also Waren oder gewerbliche Leistungen gleicher oder verwandter Art für denselben Markt herstellen oder auf demselben Markt vertreiben. Eine Beeinträchtigung des Wettbewerbs kann zum Beispiel entstehen, wenn ein Wettbewerber, der datenschutzrechtliche Pflichten missachtet, etwa keinen Datenschutzbeauftragten bestellt, Unterrichtungen unterlässt oder keine Einwilligungen einholt, in der Lage ist, preiswerter anzubieten als der Kläger, der die datenschutzrechtlichen Pflichten 20 erfüllt. Zum anderen sollte sichergestellt werden, dass anerkannte Verbände und Vereine nach § 3 Abs. 1 Unterlassungsklagengesetz oder § 13 Abs. 2 UWG Datenschutzverstöße mit einer Unterlassungsklage verfolgen können. Diese Möglichkeit besteht bereits, wenn der Anspruch eine Handlung betrifft, durch die wesentliche Belange der Verbraucher berührt werden. Diese Regelung müsste dahingehend konkretisiert werden, dass dies auch bei wesentlichen Verletzungen von Vorschriften zum Schutz der informationellen Selbstbestimmung gilt. Dem Gedanken der gesellschaftlichen Selbstregulierung entspricht es auch, wenn Verstöße gegen die selbstgesetzten Verhaltensregeln durch anerkannte Verbraucher- und Datenschutzverbände verfolgt werden können (s. zum Zusammenhang zwischen Selbstregulierung der Wirtschaft und Selbstkontrolle der Akteure aus der Wirtschaft Roßnagel/Pfitzmann/ Garstka 2001, 203f.). Selbstgesetzte Verhaltensregeln können nicht werbewirksam öffentlich für verbindlich erklärt und danach ohne jede wettbewerbs21 rechtliche Sanktion ignoriert werden . Verbraucherverbände werden nach § 4 Unterlassungsklagengesetz vom Bundesverwaltungsamt anerkannt, wenn es sich um rechtsfähige Vereine mit Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 145 mehr als 75 Mitgliedern handelt, »die Interessen der Verbraucher durch Aufklärung und Beratung wahrnehmen«. Datenschutzverbände könnten nach den gleichen Kriterien anerkannt werden, hierfür wäre in § 4 Unterlassungsklagengesetz nur eine kleine Ergänzung vorzusehen: Nach dem Wort »Verbraucher« wäre »und der von der Datenverarbeitung Betroffenen« einzufügen. 10. Datenschutz durch Wettbewerb und Wettbewerb durch Datenschutz Datenschutz und Marktwirtschaft könnten sich gegenseitig unterstützen. Datenschutz könnte durch das Mittel des Wettbewerbs leichter durchgesetzt werden, indem statt der Angst vor staatlichem Zwang das Eigeninteresse der verantwortlichen Stelle Datenschutzmaßnahmen motiviert. Die Aussicht, in der Konkurrenz um das Vertrauen der »Anspruchsgruppen«, nicht nur der Kunden, Vorteile zu erringen, mobilisiert die Eigeninitiative der Wettbewerber, ihren Datenschutz – möglichst nachprüfbar – zu verbessern. Umgekehrt bietet Datenschutz für den Wettbewerb eine Möglichkeit, sich vom Konkurrenten zu unterscheiden. Datenschutz ist ein Thema, über das mit den Anspruchsgruppen positiv kommuniziert werden kann und das ermöglicht, ein Image der Vertrauenswürdigkeit aufzubauen. Datenschutz verliert durch seine Verbindung mit dem Wettbewerbsgedanken sein Bild als bürokratisches Hindernis und gewinnt neue Konturen als Wettbewerbsvorteil, als Beratungsgegenstand, als Dienstleistung, als Produktidee und als Aspekt der Selbstbestimmung. 1 Podlech, DÖV 1970, 475; ders., DVR 1976, 25; ders. 1982, 451; Roßnagel/Wedde/Hammer/ Pordesch 1990, 259 ff.; Roßnagel 1993, 241 ff.; ders. 2001, 13 ff.; Simitis 1996, 35 ff.; HoffmannRiem, AöR 1998, 537; Vogt/Tauss 1998, Nr. 6; Bizer 1999, 28 ff; aus technischer Sicht Pfitzmann, DuD 1999, 405 ff. 2 BVerfGE 65, 1 (43 f) »Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über ›seine‹ Daten; er ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betreiber allein zugeordnet werden kann.« 3 In der Regel bilden die Modelle eine soziale Beziehung ab, sie betreffen dann beide Partner der Beziehung und unterliegen nicht dem alleinigen Verfügungsrecht nur einer Person – s. z.B. Zöllner, RDV 1985, 12. 4 Für den öffentlichen Bereich kann dieses Prinzip wegen der Gesetzesbindung der Verwaltung nicht in gleichem Maß zum Tragen kommen – s. näher Roßnagel/Pfitzmann/Garstka 2001, 73 ff. 5 Eine Ausnahme sollte für die Datenverarbeitung vorgesehen werden, durch die wegen der Offenkundigkeit oder der Art der Verarbeitung schutzwürdige Interessen der betroffenen Person offensichtlich nicht beeinträchtigt werden – s. Roßnagel/Pfitzmann/Garstka 2001, 62. 6 Für die Bereiche der Warndienste, Detekteien und Auskunfteien, der Medien und der Forschung sollten ihren Arbeitsbedingungen angepasste Erlaubnistatbestände und Verarbeitungsregeln ermöglicht werden, wenn diese Bereiche sich selbst Verhaltensregeln erarbeiten, die von den zuständigen Kontrollstellen anerkannt werden können – s. Roßnagel/Pfitzmann/ Garstka 2001, 77 ff. 7 Die Verhaltensregeln für den Datenschutz können Ergebnis der Selbstregulierung von Unternehmen und Verbänden sein, die durch die Anerkennung einer Datenschutzkontrollstelle Rechtsverbindlichkeit erlangen können – s. hierzu Roßnagel/Pfitzmann/Garstka 2001, 153 ff. Freundesgabe Büllesbach 2002 146 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Roßnagel www.w3c.org/P3P/; Cranor, P3P, Roadshow, www.w3.org/P3P/p3p-roadshow-0800.ppt; dies., DuD 2000, 479; Cavoukian/ Gurski/Mulligan/Schwartz, DuD 2000, 475; Grimm/Roßnagel 2000a, 293 ff.; dies. 2000b, 157; Wenning/Köhntopp, DuD 2001, 139 ff.; Greß, DuD 2001, 144 ff.; Lohse/Janetzko, CR 2001, 55 Solche Dienstleistungen bietet z.B. www.enonimous.com an. Sie verwalten Kundendaten, schalten sich unbemerkt in die Internetkommunikation ein und geben die Daten nur weiter, wenn dies den Bedingungen des Kunden entspricht (z.B. www.digitalme.com; www.privaseek. com; www.privacybank.com; zu weiteren Beispielen s. www.koehntopp.de/marit/ publikationen/idmanage) Z. B. ISO 9.001 zum Qualitätsmanagement und ISO 14.001 zum Umweltschutzmanagement; EG-Verordnung Nr. 761/2001 »über freiwillige Beteiligung von Organisationen an einem Gemeinschaftssystem für das Umweltmanagement und die Umweltbetriebsprüfung« (EMAS) vom 19.3.2001, EG ABl. L 114 vom 24.4.2001, 1. Eine ähnliche Regelung wurde im Entwurf für ein Umweltgesetzbuch in §51 vorgeschlagen – s. Entwurf der Unabhängigen Sachverständigenkommission zum Umweltgesetzbuch 1998, 547. Eine solche Produktzertifizierung ist in Schleswig-Holstein nach § 4 Abs. 2 LDSG vorgesehen und in einer Verordnung umgesetzt, die allerdings den falschen Titel führt: Landesverordnung über ein Datenschutzaudit vom 3.4.2001, GVBl. I, 51, www.datenschutzzentrum.de/guetesiegel/ – s. näher Bäumler, DuD 2001, 252; ders., RDV 2001, 169 ff; Diek 2002. In der Regel verfügen die Anwender auch nicht über die für eine Zertifizierung des Produkts notwendige Detailinformation, wie über Quelltexte und verwendete Hilfsmittel, Entwurfsdokumentation und ähnliches. Zur Bedeutung für global agierende Unternehmen s. Büllesbach, RDV 2000, 1 ff. und Büllesbach/Höss-Löw, DuD 2001, 135 ff. Auch nach den Safe Harbor Principles wird ein Verstoß gegen die freiwillig übernommenen Prinzipien als unlautere und irreführende Handlung sanktioniert – s. Grundsätze des »sicheren Hafens« zum Datenschutz, vorgelegt vom amerikanischen Handelsministerium am 21.7.2000, EG-ABl. L 215 vom 25.8.2000, 10; Entscheidung der Kommission vom 26.7.2000, Art. 1 Abs. 2 b) und Erwägungsgrund 5, EG-ABl. L 215 vom 25.8.2000, 7. Zur Erhöhung der Akzeptanzchancen und zusätzlichen Gewinnen an »funktionaler« Legitimität s. z.B. Ritter, AöR 1979, 411; Ukrow 2000, 14. Z. B. Swire 1997, der darauf hinweist, dass dies insbesondere für die Kosten-Effektivität der Regelungen gilt; s. auch Fuhrmann 2001, 143. Selbstregulierung kann schließlich zu einer Entlastung des Staats führen und dazu beitragen, seine Überforderung zu verringern (s. hierzu am Beispiel des Umweltschutzes z. B. Faber 2011, 80). Für den Bereich des Umweltschutzes z.B. Oldiges, WiR 1973, 13 f.; Baudenbacher, JZ 1988, 692; Brohm, DÖV 1992, 1026; Schmidt-Preuß, VVDStRL 56 (1997), 215. Z. B. Baudenbacher, JZ 1988, 694f., Brohm, DÖV 1992, 1028) Allerdings fordert eine andere Meinung eine Genehmigung durch den Bundeswirtschaftsminister nach § 8 GWB, s. z. B. Kloepfer, JZ 1980, 784 ff.; Scherer, DÖV 1991, 5; Schmidt-Preuß, VVDStRL 56 (1997), 216f. Ein Wettbewerbsverstoß im Sinn des § 1 UWG durch Rechtsbruch wird in der Regel nur angenommen, wenn die verletzten Normen wertbezogen sind und dem Schutz wichtiger Rechtsgüter und Interessen dienen. Dies wird für das Datenschutzrecht in der Rechtsprechung zum Teil angenommen – s. z.B. BGH, NJW 1992, 2419; OLG Köln, WRP 1982, 540; OLG Koblenz, DuD 1999, 358; LG Mannheim, NJW 1996, 1835; LG Hamburg, CR 1997, 21; LG München I, CR 1998, 83; LG Stuttgart, DuD 1999, 295; OLG Köln, RDV 2001, 103 ff. – zum Teil verneint – s. z.B. OLG Frankfurt, DuD 1997, 47 – und zum Teil offengelassen – s. z.B. OLG Köln, MMR 2000, 106, das letztlich aber doch den Wettbewerbsverstoß bejaht. s. aus der Literatur z.B. Hoeren/ Lütkemeier 1999, 111 f. S. zu dieser öffentlich-rechtlichen Konkurrentenklage den parallelen Vorschlag in § 46 des Entwurfs zu einem UGB und seine Begründung die Unabhängigen Sachverständigenkommission zum Umweltgesetzbuch, 1998, 540. Auch nach den Safe Harbor Principles wird ein Verstoß gegen die freiwillig übernommenen Prinzipien als unlautere und irreführende Handlung sanktioniert – s. Grundsätze des »sicheren Hafens« zum Datenschutz, vorgelegt vom amerikanischen Handelsministerium am 21.7.2000, EG-ABl. L 215 vom 25.8.2000, 10; Entscheidung der Kommission vom 26.7.2000, Art. 1 Abs. 2 b) und Erwägungsgrund 5, EG-ABl. L 215 vom 25.8.2000, 7. Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 147 Literatur: Arbeitskreis »Datenschutz-Audit Multimedia« (DuD 1999): Prinzipien und Leitlinien zum Datenschutz-Audit bei Multimedia-Diensten, DuD 1999, 285. Baudenbacher, C. (JZ 1988): Kartellrechtliche und verfassungsrechtliche Aspekte gesetzesersetzender Vereinbarungen zwischen Staat und Wirtschaft – Ein Beitrag zu den staatlich inspirierten Selbstbeschränkungsabkommen, JZ 1988, S. 692. Bäumler, H. (Hrsg.) (2000): E-Privacy, Braunschweig 2000. Bäumler, H. (DuD 2001): Datenschutzaudit und Gütesiegel in SchleswigHolstein, DuD 2001, S. 252. Bäumler, H. (RDV 2001): Datenschutzaudit und IT-Gütesiegel im Praxistest, RDV 2001, S. 167. Bäumler, H./v. Mutius, A. (Hrsg.) (2002): Datenschutz als Wettbewerbsvorteil, Vieweg 2000. Bizer, J. (DuD 1998): Zweckbindung durch Willenserklärung, DuD 1998, 552. Bizer, J. (DuD 2001): Ziele und Elemente der Modernisierung des Datenschutzrechts, DuD 2001, S. 274. Brönneke, T./Bobrowski, M. (2000): Das als Kernanliegen des Verbraucherschutzes im E-Commerce, in: Bäumler 2000, S. 141. Brohm, W. (DÖV 1992): Rechtsgrundsätze für normersetzende Absprachen – Zur Substitution von Rechtverordnungen, Satzungen und Gesetzen durch kooperatives Verwaltungshandeln, DÖV 1992, 1026. Büllesbach, A./Garstka, H. (1997): Systemdatenschutz und persönliche Verantwortung, in: Müller, G./Pfitzmann, A. (Hrsg.), Mehrseitige Sicherheit in der Kommunikationstechnik, Bonn 1997, S. 383. Büllesbach, A. (RDV 1997): Datenschutz und Datensicherheit als Qualitäts- und Wettbewerbsfaktor, RDV 1997, S. 239. Büllesbach, A./Höss-Löw, P. (DuD 2001): Vertragslösung, Safe Harbor oder Privacy Code of Conduct, DuD 2001, S. 135. Büllesbach, A. (RDV 2000): Datenschutz in einem globalen Unternehmen, RDV 2000, 1. Cavoukian, A./Gurski, M./Mulligan, D./Schwartz, A. (DuD 2000): P3P und Datenschutz, DuD 2000, S. 475. Cranor L. F.(1999): Agents of Choice: Tools that Facilitate Notice and Choice about Web Site Data Practices, Proc. of the 21st Int. Conference on Privacy and Personal Data Protection, 1999, S. 19. Cranor, L. F. (DuD 2000): Platform for Privacy Preferences – P3P, DuD 2000, 479. Diek, A. C. (2002): Gütesiegel nach dem schleswig-holsteinischen Landesdatenschutzgesetz, in Bäumler/v. Mutius (Hrsg.) (2002), S. 157. Dix, A. (2002): Konzepte des Systemschutzes, in: Roßnagel (Hrsg.) (2002a), Kap. 3.5. Faber, A. (2001) Gesellschaftliche Selbstregulierungssysteme im Umweltrecht – unter besonderer Berücksichtigung der Selbstverpflichtungen, Köln 2001. Fuhrmann, H. (2001): Vertrauen im Electronic Commerce – rechtliche Gestaltungsmöglichkeiten unter besonderer Berücksichtigung verbindlicher Freundesgabe Büllesbach 2002 148 Roßnagel Rechtsgeschäfte und des Datenschutzes, Baden-Baden 2001. Golembiewski, C. (2002): Das Datenschutzaudit in Schleswig-Holstein, in: Bäumler/v. Mutius (Hrsg.) (2002), S. 107. Greß, S. (DuD 2001): Datenschutzprojekt P3P, DuD 2001, S. 144. Grimm, R./Roßnagel, A. (2000a): Weltweiter Datenschutzstandard?, in: Kubicek, H./Bracyk, H.-J./Klumpp, D./Roßnagel, A. (Hrsg.), Global@Home, Jahrbuch Telekommunikation und Gesellschaft 2000, Heidelberg 2000, 293. Grimm, R./Roßnagel, A. (2000b): Can P3P Help to Protect Privacy Worldwide?, in: ACM (Ed.) Multimedia Security, Proceedings of the International Workshop, November 2000, 157.dies. 2000b, S. 157; Hansen, M. (2002): Privacy Enhancing Technologies, in: Roßnagel (2002), Kap. 3.3. Hoffmann-Riem, W. (1997): Datenschutz als Schutz eines diffusen Interesses in der Risikogesellschaft, in: Krämer, L./Micklitz, H.-W./Tonner, K. (Hrsg.), Recht und diffuse Interessen in der Europäischen Rechtsordnung, Baden-Baden 1997, S. 777. Hofmann-Riem, W. (1998): Informationelle Selbstbestimmung als Grundrecht kommunikativer Entfaltung, in: Bäumler, H. (Hrsg.), Der neue Datenschutz, Neuwied 1998, S. 11. Hofmann-Riem, W. (AöR 1998): Informationelle Selbstbestimmung in der Informationsgesellschaft – Auf dem Weg zu einem neuen Konzept des Datenschutzes –, AöR 1998, 514. Kloepfer, M. (JZ 1980): Umweltschutz als Kartellprivileg?, JZ 1980, 788. Köhntopp, M./Pfitzmann, A. (2000): Datenschutz Next Generation, in: Bäumler (Hrsg.) 2000, S. 316. Kranz, H. J. (2002): Datenschutz im Reise- und Tourismusgewerbe, in: Roßnagel (Hrsg.) 2002, Kap. 7.4. Ladeur, K.-H. (DuD 2000): Datenschutz – vom Abwehrrecht zur planerischen Optimierung von Wissensnetzwerken, Zur »objektiv-rechtlichen Dimension« des Datenschutzes, DuD 2000, S. 12. Lohse, C./Janetzko, D. (CR 2001): Technische und juristische Regulationsmodelle des Datenschutzes am Beispiel von P3P, CR 2001, 55. Hagel, J./Singer, M. (1999): Net Worth. The Emerging Role of the Infomediary in the Race for Costumer Information, Harvard Business School Press 1999. Hoeren. T./Lütkemeier, S. (1999): Unlauterer Wettbewerb durch Datenschutzverstöße, in: Sokol, B. (Hrsg.), Neue Instrumente im Datenschutz, Düsseldorf 1999, S. 107. Mattern. F./Langheinrich, M. (2001): Allgegenwärtigkeit des Computers – Datenschutz in einer Welt intelligenter Alltagsdinge, in: Müller, G./ Reichenbach, M. (Hrsg.), Sicherheitskonzepte für das Internet, Berlin 2001. 7. Oldiges, M. (WiR 1973): Staatlich inspirierte Selbstbeschränkungsabkommen der Privatwirtschaft, WiR 1973, S. 13f.; Opaschowski, H. (2002): Gesellschaftliche Grundlagen, in: Roßnagel (2002), Kap. 2.1. Petri, T. B. (DuD 2001): Vorrangiger Einsatz auditierter Produkte, DuD 2001, 150. Pfitzmann, A. (DuD 1999): Datenschutz durch Technik, DuD 1999, S. 405. Freundesgabe Büllesbach 2002 Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive 149 Pfitzmann, A./Schill, A./Westfeld, A./Wolf, G. (2000), Mehrseitige Sicherheit in offenen Netzen, Braunschweig 2000. Pitschas, R. (DuD 1998): Informationelle Selbstbestimmung zwischen digitaler Ökonomie und Internet, DuD 1998, S. 139. Podlech, A. (DÖV 1970): Verfassungsrechtliche Probleme öffentlicher Datenbanken, DÖV 1970, S. 473. Podlech, A. (DVR 1976): Aufgaben und Problematik des Datenschutzes, DVR 1976, S. 23. Podlech, A. (1982): Individualdatenschutz – Systemdatenschutz, in: Brückner/ Dalichau (Hrsg.), Beiträge zum Sozialrecht, Festgabe für Grüner, Percha 1982, S. 451. Ritter, H. (AöR 1979): Der kooperative Staat, AöR 1979, S. 411 Roßnagel, A. (1993): Rechtswissenschaftliche Technikfolgenforschung, Umrisse einer Forschungsdisziplin, Baden-Baden 1993. Roßnagel A. (DuD 1999): Datenschutz in globalen Netzen, DuD 1999, S. 253. Roßnagel, A. (2000): Datenschutzaudit Konzeption, Durchführung, gesetzliche Regelung, Braunschweig 2000. Roßnagel, A. (Hrsg.) (2001): Allianz von Medienrecht und Informationstechnik: Herausforderungen und Hoffnungen, in: Roßnagel, A. (Hrsg.), Allianz von Medienrecht und Informationstechnik? Ordnung in digitalen Medien durch Gestaltung der Technik am Beispiel von Urheberschutz, Datenschutz, Jugendschutz und Vielfaltschutz, Schriftenreihe des Instituts für Europäisches Medienrecht (EMR) 24, Baden-Baden 2001, S. 17. Roßnagel, A. (Hrsg.) (2002a): Handbuch des Datenschutzrechts, München 2002, i.E. Roßnagel, A. (2002b): Konzepte des Selbstdatenschutzes, in: Roßnagel (Hrsg.) (2002), Kap. 3.4. Roßnagel, A. (2002c): Konzepte der Selbstregulierung, in: Roßnagel (Hrsg.) (2002), Kap. 3.6. Roßnagel, A. (2002d): Marktwirtschaftlicher Datenschutz im Datenschutzrecht der Zukunft, in: Bäumler/v. Mutius (Hrsg.) (2002), S. 115. Roßnagel, A./Pfitzmann, A./Garstka, H. (2001): Modernisierung des Datenschutzrechts, Berlin, 2001. Roßnagel, A./Wedde, P./Hammer, V./Pordesch, U. (1990): Digitalisierung der Grundrechte? Zur Verfassungsverträglichkeit der Informations- und Kommunikationstechnik, Opladen 1990. Scherer, J. (DÖV 1991): Rechtsprobleme normersetzender »Absprachen« zwischen Staat und Wirtschaft am Beispiel des Umweltrechts, DÖV 1991, S. 5. Schmidt-Preuß. M. (1997): Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steuerung, VVDStRL 56 (1997), S. 215. Schulz, W. (Verwaltung 1999): Verfassungsrechtlicher »Datenschutzauftrag« in der Informationsgesellschaft, Die Verwaltung 1999, S. 137. Simitis, S. (1996): Virtuelle Präsenz und Spurenlosigkeit, in: Hassemer, W./Möller, K. P. (Hrsg.), 25 Jahre Datenschutz, Baden-Baden 1996, S. 28. Freundesgabe Büllesbach 2002 150 Roßnagel Simitis, S. (1987): Programmierter Gedächtnisverlust oder reflektiertes Bewahren, in: Fürst u.a. (Hrsg.), FS für Zeidler, Bd. 2, 1987, S. 1475. Simitis, S. (DuD 2001): Auf dem Weg zu einem neuen Datenschutzkonzept, DuD 2000, S. 714. Swire, P. P. (1997): Markets, Self-Regulation, and Government Enforcement in the Protection of Personal Information, in: U.S. Department of Commerce (Ed.), Privacy and Self-Regulation in the Information Age, Washington 1997, www.ntia.doc.gov/reports/ privacy/selfreg1.htm Trute, H.-H. (1998): Öffentlich-rechtliche Rahmenbedingungen einer Informationsordnung, VVDStRL 57 (1998), S. 216. Trute, H.-H (2002): Verfassungsrechtliche Grundlagen, in: Roßnagel (2002), Kap. 2.5. Ukrow, J. (2000): Die Selbstkontrolle im Medienbereich in Europa, München 2000. Unabhängige Sachverständigenkommission zum Umweltgesetzbuch (1998): Umweltgesetzbuch, Entwurf der Unabhängigen Sachverständigenkommission (UGB-KomE) zum Umweltgesetzbuch beim Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit, hrsg. v. Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit, Berlin 1998. Vogt, U./Tauss, J. (1998): Entwurf für ein Eckwerte-Papier der SPD-Bundestagsfraktion: Modernes Datenschutzrecht für die (globale) Wissens- und Informationsgesellschaft, Bonn Oktober 1998. Weichert, T. (2000): Zur Ökonomisierung des Rechts auf informationelle Selbstbestimmung, in: Bäumler (Hrsg.) 2000, S. 158. Weichert, T. (DuD 2001): Datenschutz als Verbraucherschutz, DuD 2001, 264. Weichert, T. (NJW 2001): Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung, NJW 2001, S. 1463. Wenning, R./Köhntopp, M. (DuD 2001): P3P im europäischen Rahmen, DuD 2001, S. 139. Zöllner, W. (RDV 1985): Die gesetzgeberische Trennung des Datenschutzes für öffentliche und private Datenverarbeitung, RDV 1985, S. 3. Freundesgabe Büllesbach 2002 151 Wolfgang Kilian Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung? Zum Modernisierungsgutachten 2002 für den Bundesminister des Inneren. Der Analyse des Gutachtens »Modernisierung des Datenschutzrechts« (Roßnagel/Pfitzmann/Garstka 2002) über die Funktionen des Datenschutzrechts in der heutigen Informationsgesellschaft und die immens gewachsenen, mit der Netzwerktechnik und intelligenten Verarbeitungsmethoden zusammenhängenden neuen Gefährdungen ist nichts hinzuzufügen. Die angeführten Beispiele über den Globally Unique Identifier (GUID), Data-MiningMethoden und Data Warehouses liefern weithin anerkannte Belege für die These, dass ein Modernisierungsbedarf im Datenschutzrecht besteht. Zuzustimmen ist auch der Beobachtung, dass der im Volkszählungsurteil des Bundesverfassungsgerichts (BVerfGE 65, 1) bestätigte Grundsatz des deutschen und des nachgebildeten EG-Datenschutzrechts des Verbots unfreiwilliger oder rechtlich ungeregelter Verarbeitung personenbezogener Daten zu einer schier unüberschaubaren Flut spezieller Datenschutzregelungen geführt hat. Diese »bereichsspezifischen Regelungen« erfüllen zwar die verfassungsrechtsdogmatisch gebotenen Anforderungen, scheinen jedoch durch ihre 1 Vielzahl das grundsätzliche Verbot mit Erlaubnisvorbehalt eher zu verschleiern als zu verstärken. Selbst Datenschutzspezialisten benötigen heute einen Großteil der Zeit bei der Lösung eines Datenschutzproblems für die Identifizierung der anwendbaren Rechtsgrundlage. Im privatrechtlichen Bereich haben Generalklauseln mit der Anforderung einer Interessenabwägung (ohne Angabe von Präferenzkriterien) dazu geführt, dass die Nutzung personenbezogener Daten, die vertraglich impliziert oder zumindest mit überwiegendem kommerziellen Bedarf begründbar sind, kaum auf Einschränkungen stoßen. Soweit das Modernisierungsgutachten »Wertungswidersprüche« im Datenschutzrecht feststellt, die »vollzugshemmend« oder »weniger effektiv« sein sollen (Roßnagel u. a. 2002, S. 33), wird unter anderem auf Opt-in-Regelungen (§ 5 Abs. 2 TDDSG) und Opt-out-Regelungen (§§ 28 Abs. 4 BDSG; 3 Abs. 7 TDDSG, 4 Abs.4 TDDSG) als Beispiele hingewiesen. Ob es sich tatsächlich um Wertungswidersprüche handelt oder – angesichts vorausgegangener harter Interessendurchsetzung für diese Regelungen – um eine bewusst unterschiedliche normative Präferenzwahl mit impliziter Begünstigung einer Seite hinsichtlich der Verfügungsmöglichkeit über personenbezogene Daten darstellt, wird noch zu diskutieren sein. Aufgrund der Analyse des faktischen und des normativen Ist-Zustandes des Datenschutzes werden im Modernisierungsgutachten vier Forderungen abgeleitet (Roßnagel/Pfitzmann/Garstka 2002, S. 34): – Datenschutz muss effektiv werden – Datenschutz muss risikoadäquat stattfinden Freundesgabe Büllesbach 2002 152 Kilian – Datenschutz muss verständlich werden – Datenschutz muss attraktiv werden. Durchgesetzt werden sollen diese Forderungen – wobei der Gesichtspunkt der Globalisierung der Datenverarbeitung mehr oder weniger ausgeklammert bleibt (Roßnagel/Pfitzmann/Garstka 2002, S. 35) – durch mehr Technik zur Unterstützung der normativen Ziele (Zweckbindung, Selbstbestimmung, Erforderlichkeit, Vermeidung von Personenbezug, Wahrnehmung von Betroffenenrechten) durch höhere Transparenz über die Verarbeitung personenbezogener Daten (zusätzliche Informationspflichten und Auskunftsrechte), Vermeidung des Personenbezugs (Anonymisierung, Pseudonymisierung), höhere Entscheidungsautonomie der betroffenen Person (die »Betroffenen« werden zu »Teilnehmern« des Datenschutzes) sowie durch Einordnung des Datenschutzes als Teil einer Informationsordnung (informationelle Grundversorgung; Informationsfreiheit und informationelle Selbstbestimmung) (Roßnagel/ Pfitzmann/Garstka 2002, S. 35 – 39). Als Konzepte für die Umsetzung der Ziele und Forderungen werden drei »Instrumente« genannt (Roßnagel/Pfitzmann/Garstka 2002, S. 39 – 42), die dann im Rahmen der Vorschläge zur normativen Umsetzung (Roßnagel/ Pfitzmann/Garstka 2002, S. 43 ff.) detailliert entfaltet werden. Die drei Instrumente sind: – Der Systemdatenschutz, eine auf Podlech (Podlech 1982, S. 451) zurückgehende Konzeption der Unterstützung des Datenschutzes durch Technik. Voraussetzung des technisch-organisatorischen Systems ist freilich die Vorklärung der Frage, wer personenbezogene Daten überhaupt verarbeiten darf. – Als zweites Instrument wird der Selbstdatenschutz propagiert. Darunter wird die selbstbestimmte Nutzung technischer und organisatorischer Schutzinstrumente (Verschlüsselung, Pseudonymisierung, Identitätsmanagement) verstanden (Roßnagel/Pfitzmann/Garstka 2002, S. 41). – Als letztes Instrument werden Anreize zur Verbesserung von Datenschutz und Datensicherheit (Auditierungen; Zertifizierungen) vorgeschlagen (Roßnagel/Pfitzmann/Garstka 2002, S. 42). Die im Modernisierungsgutachten dargebotenen Analysen, Forderungen, Ziele und Instrumente sind plausibel und notwendig, soweit man eine Voraussetzung als gegeben unterstellt: Es muss feststehen, wer Verfügungsrechte über personenbezogene Daten beanspruchen kann. Soweit Ungewissheit über die Vorfrage besteht, ob und von wem personenbezogene Daten verweigert, erhoben, gespeichert, verarbeitet, übermittelt, genutzt oder gelöscht werden können, helfen der Systemdatenschutz, der Selbstdatenschutz oder die vorgeschlagenen Anreize zur höheren Datensicherheit nicht weiter. Alle diese Instrumente betreffen die Optimierung und die Effizienz des Datenschutzes bei gegebener Verteilung von Verfügungsrechten (property rights) an personenbezogenen Daten. In den meisten Fällen besteht das zu lösende – und das zu der fast unüberschaubaren Menge an Rechtsvorschriften führende – Datenschutzproblem jedoch nicht in der technischen Effektivierung der Freundesgabe Büllesbach 2002 Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung? 153 Durchsetzung feststehender Verfügungsrechte, sondern in der Konzeptualisierung und Begründung der Verfügungsrechte selbst. Es ist zu fragen, ob sich die wünschenswerte Effektivität des Datenschutzes nur auf die Steigerung der technischen Kontrollmöglichkeit personenbezogener Daten beschränken darf, oder ob – vielleicht sogar primär – die Frage der optimalen Verteilung der Verfügungsrechte unter dem Effektivitätsgesichtspunkt thematisiert werden muss. Als Zivilrechtler möchte ich mich auf den Datenschutz im nichtöffentlichen Bereich beschränken. Dieser Bereich wird zwar im Modernisierungsgutachten im Hinblick auf das Internet und auf die »wesentlich größeren und sensitiveren Datenbestände« privater Datenverarbeiter (Roßnagel/Pfitzmann/Garstka 2002, S. 23) sowie auf die »Verschiebung« der »Bedrohung der informationellen Selbstbestimmung« in den nichtöffentlichen Bereich (Roßnagel/Pfitzmann/ Garstka 2002, S. 23 f, S. 51 f.) besonders hervorgehoben, aber vor allem im ersten Teil des Modernisierungsgutachtens nur nachrangig berücksichtigt. Grundsätzlich gehen die Autoren des Modernisierungsgutachtens von einer Gleichbehandlung des öffentlichen und des nichtöffentlichen Bereichs aus (Roßnagel/Pfitzmann/Garstka 2002, S. 48 unter 4.2). Die Frage ist zunächst, ob eine Gleichbehandlung des öffentlichen und nicht öffentlichen Bereichs zwingend geboten ist. Warum soll die Wahrung von Allgemeininteressen und der Schutz von Privatinteressen durch parallele staatliche Normen gleich intensiv reguliert werden? Ich möchte die Hypothese aufstellen, dass die überwiegende Zahl staatlicher Regulierungen im nichtöffentlichen Bereich überflüssig sind, wenn man das informationelle Selbstbestimmungsrecht und die daraus abzuleitende Verfügungsbefugnis an den eigenen personenbezogenen Daten als eigentumsähnliche Position (property right) auffasst, das – von näher zu beschreibenden Schranken abgesehen – grundsätzlich in Marktprozesse eingebracht werden kann. Demgegenüber vertreten die Autoren des Modernisierungsgutachtens folgende These: (Roßnagel/Pfitzmann/Garstka 2002, S. 37) »Allerdings darf die informationelle Selbstbestimmung nicht als Herrschaftsrecht über die personenbezogenen Daten verstanden und als eigentumsähnliche Ausschluss- und Verfügungsmacht ausgestaltet werden. Ein solches Verständnis würde zum Einen den objektivrechtlichen Gehalt der informationellen Selbstbestimmung als Funktionsvoraussetzung für eine Gesellschaft verkennen, die auf individueller Selbstbestim-mung und freier demokratischer Willensbildung ruht. Sie würde zum anderen aber auch verkennen, dass personenbezogene Daten mehrrelational sind. Als Modelle der Wirklichkeit haben sie immer einen Autor und ein Objekt. Sie haben eine Beziehung zum Objekt, aber auch zum Autor. Sie können nicht allein dem Objekt zugeordnet werden.« Die Gutachter begründen also ihre Behauptung, das Recht auf informationelle Selbstbestimmung dürfe »nicht als Herrschaftsrecht über personenbezogene Daten« verstanden werden, mit zwei Argumenten: Erstens mit dem »objektivrechtlichem Gehalt« der informationellen Selbstbestimmung als FunktionsFreundesgabe Büllesbach 2002 154 Kilian voraussetzung für eine Gesellschaft (nachfolgend »verfassungsrechtliches Argument« genannt) und zweitens mit der Eigenschaft personenbezogener Daten, eine mehrrationale Beziehung zum Objekt und zum Autor abzubilden (nachfolgend »rechtstheoretisches Argument« genannt). Das verfassungsrechtliche Argument geht von einem Gegensatz zwischen einem privatrechtlichem Herrschaftsrecht (»eigentumsähnliche Ausschlussund Verfügungsmacht«) und dem verfassungsrechtlich gebotenen »objektivrechtlichen Gehalt« der informationellen Selbstbestimmung aus. Die Befürchtung scheint zu sein, dass bei Ausübung von eigentumsähnlichen Positionen der »objektivrechtliche Gehalt« des informationellen Selbstbestimmungsrechts beeinträchtigt werden könnte. Das Bundesverfassungsgericht interpretiert die Grundrechte sowohl als Freiheitsrechte als auch als Werte. Auch die dem informationellen Selbstbestimmungsrecht zugrunde liegenden Art. 1 Abs. 1 und Art. 2 Abs. 1 GG werden diesem Doppelcharakter zuerkannt (BVerfGE 49, 89 (142); 88, 203 (251); 89, 214 (231); 96, 56 (64)). Als objektive Grundsatznormen bilden diese Grundrechte eine objektive Wertordnung (BVerfGE 33, 303 (330)), die als Wirkung den Schutz gegenüber Dritten auch im Privatrechtsverkehr einschließt (Jarrass 2001, S. 39 ff.). Der Schwerpunkt des objektiven Gehalts liegt sogar im Privatrecht. Die Schutzpflichten des Staates, die den objektiven Grundrechtsgehalt des informationellen Selbstbestimmungsrechts kennzeichnen, gehen aber keineswegs dahin, die Bildung eigentumswerter Positionen des zu Schützenden zu verhindern. Die Anerkennung von eigentumswerten Positionen an personenbezogenen Daten ist gerade umgekehrt eine Funktionsvoraussetzung für eine Gesellschaft und – soweit es um die kommerzielle Nutzung geht – eine Funktionsvoraussetzung für die Marktgesellschaft. Der objektivrechtliche Gehalt des informationellen Selbstbestimmungsrechts führt deshalb lediglich zur Schutzpflicht des Staates, eine Rahmenordnung für die Marktgesellschaft zu schaffen, innerhalb derer sich das informationelle Selbstbestimmungsrecht entfalten kann. Auch das rechtstheoretische Argument der »Mehrrelationalität« personenbezogener Daten wird nicht näher begründet. Es weist aber bemerkenswerte Parallelen zu einem Beitrag von Steinmüller (Steinmüller 1993) aus dem Jahre 1993 auf. Steinmüller sieht überzeugend das Charakteristikum von Informationen in einer Beziehung zwischen einem Modellsubjekt über einen Ausschnitt der Wirklichkeit (»Modell«) im Hinblick auf einen bestimmten Zweck. Personenbezogene »Daten« wären dann Informationen, die sich ein Modellsubjekt (in der Sprache des Modernisierungsgutachtens: »Autor«) im Hinblick auf einen bestimmten Zweck von einer Person (Modell der Wirklichkeit; in der Sprache des Modernisierungsgutachtens: »Objekt«) macht. Dieser Systemzusammenhang lässt sich unter der Bezeichnung »Mehrrelationalität« zusammenfassen, und auch Steinmüller spricht von »Relationen« (Steinmüller 1993, S. 217). Die Relationen bestehen zwischen Person (Modell der Wirklichkeit) und personenbezogenen Daten einerseits und zwiFreundesgabe Büllesbach 2002 Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung? 155 schen personenbezogenen Daten und Modellsubjekt (Autor) andererseits. Auffällig an dem rechtstheoretischen Argument der Gutachter ist jedoch, dass die wichtige Zweckorientiertheit der Relationen nicht erwähnt und ausschließlich der Sonderfall einer Zweipersonenrelation betrachtet wird, auf die sich die personenbezogenen Daten jeweils gleichermaßen beziehen sollen. Dadurch bleibt der Normalfall ausgeblendet, der darin besteht, dass eine Person selbst »Autor« seiner personenbezogenen Daten ist, wenn er nämlich im Hinblick auf einen bestimmten Zweck bestimmte Eigenschaften seiner Person (»Modell der Wirklichkeit«) feststellt, beschreibt, übermittelt oder sonst transparent macht. Diese personenbezogenen Daten können sehr wohl ihm allein zugeordnet werden. Die Feststellung, Beschreibung und Übermittlung der personenbezogenen Daten erfolgt zwar zu bestimmten Zwecken, macht aber diese personenbezogenen Daten deshalb nicht zu Daten des Empfängers oder der datenverarbeitenden Stelle. Die Feststellung im Modernisierungsgutachten, »sie (d. h. die Daten) können nicht allein dem Objekt zugeordnet werden« (Roßnagel/Pfitzmann/Garstka 2002, S. 37) ist für den Normalfall unzutreffend. Diese Feststellung beruht auf der unzulässigen Einschätzung, Modelle der Wirklichkeit (also personenbezogene Daten) bildeten »in der Regel« soziale Beziehungen ab, beträfen dann »beide Partner der Beziehung«, könnten also nicht nur einer Person zugeordnet werden (Roßnagel/ Pfitzmann/Garstka 2002, S. 37, Fn. 55). Natürlich gibt es auch Modelle der Wirklichkeit (personenbezogene Daten), die eine soziale Beziehung als solche abbilden. Die Informationen etwa, dass zwei Personen verheiratet sind, enthält eine Aussage im Hinblick auf beide Personen. Es sollte kein Zweifel bestehen, dass beide Personen dann auch Verfügungsrechte an dieser Information besitzen. Beide müssen sich verständigen, ob sie den Ehestatus transparent machen wollen. Nach dem Steuerrecht sind sie dazu gegenüber dem Arbeitgeber sogar gesetzlich verpflichtet und insofern in ihrer Verfügungsbefugnis eingeschränkt. Das ändert aber nichts an der Tatsache, dass der Verheiratetenstatus ein personenbezogenes Datum sowohl der Frau als auch des Mannes ist. Beiden steht grundsätzlich ein eigenes Verfügungsrecht an dieser Information zu. Aus dem Rücksichtnahmegebot (§ 1353 BGB) kann sich allerdings eine Ausübungsschranke ergeben. Zivilrechtlich sind im übrigen Miteigentum (§ 1008 BGB), Gesamthandseigentum (§§ 718; 2032 BGB) oder Gesamthandsverwaltung (§ 1454) anerkannte Institutionen ohne aufregende Besonderheiten, deren Strukturen sich auf kooperative Verfügungsbefugnisse übertragen ließen. Unklarheiten im rechtstheoretischen Argument über die angebliche Unmöglichkeit, personenbezogene Daten nur einer Person zuordnen zu können, beruhen im Modernisierungsgutachten ferner auf der erwähnten erstaunlichen Ausblendung des Zweckgesichtspunkts bei der Entstehung personenbezogener Daten. »Daten« werden überhaupt nur durch die Zweckorientierung zu »Informationen«. Im Modernisierungsgutachten (Roßnagel/Pfitzmann/ Garstka 2002, S. 37) wird behauptet: »Die personenbezogenen Daten sind nicht nur Daten der betroffenen Person, sondern ebenso der Stelle, die sie Freundesgabe Büllesbach 2002 156 Kilian erhoben oder verarbeitet hat.« Wäre diese Aussage richtig, könnte man alle Datenschutzvorschriften zur Rechtmäßigkeit der Übermittlung und Verarbeitung streichen. Hinfällig würde auch das Axiom des Datenschutzrechts, dass personenbezogene Daten »Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person« sind (Art. 2 lit. a EG-Datenschutzrichtlinie 95/46/EG; § 3 Abs. 1 BDSG), die über die Erhebung, Verarbeitung und Nutzung grundsätzlich selbst zu entscheiden hat (§ 4 Abs. 1 BDSG). Mit der vagen Formulierung im Modernisierungsgutachten, personenbezogene Daten »sind« auch Daten der datenverarbeitenden Stelle, kann rechtlich keine Verfügungsbefugnis der datenverarbeitenden Stelle begründet werden. Dies gilt auch für das einzige Beispiel in diesem Zusammenhang, nämlich den Daten über eine medizinische Behandlung (Roßnagel/Pfitzmann/Garstka 2002, S. 38). Behandlungsdaten beziehen sich primär auf die Person des Patienten, bilden also eine Relation zwischen dem Gesundheitszustand eines Patienten (Objekt) aus der Sicht des Arztes (Subjekt; »Autor«). Soweit sich – etwa in dem Stellen einer Diagnose – auch eine Relation zwischen den Fachkenntnissen des Arztes (Objekt) auf der Grundlage der Anamnese durch den Arzt (Subjekt; »Autor«) ausdrückt, handelt es sich bei der Diagnose unter diesem Zweckgesichtspunkt zugleich um personenbezogene Daten des Arztes. Die Verfügungsbefugnis über Behandlungsdaten liegt primär beim Patienten, was sich daran zeigt, dass er die Weitergabe der personenbezogenen Daten an die Kassenärztliche Vereinigung (bei einem privatversicherten Patienten: an die private Krankenversicherung) durch Übernahme der Behandlungskosten verhindern könnte. Auch die Übergabe der Behandlungsdaten an einen Praxisnachfolger ist nur mit Zustimmung der betroffenen Patienten zulässig (BGHZ 116, 268). Ein Patient hat nur dann keinen Einfluss auf die Speicherung, Verarbeitung oder Übermittlung seiner Daten, wenn dies aufgrund öffentlich-rechtlicher Vorschriften (z.B. §§ 67 ff. SGB X; 201 SGB VII) vorgeschrieben ist. Die Erfüllung dieser Pflichten durch den Arzt macht die Patienten2 daten jedoch nicht zu »seinen« Daten . Es trifft deshalb nicht zu, dass »für ein mehrrelationales Wirklichkeitsmodell keine Eigentumsäquivalenz gegeben« sei (Roßnagel/Pfitzmann/Garstka 2002, S. 38). Das rechtstheoretische Argument, ein Betroffener könne keine eigentumsähnliche Position an seinen personenbezogenen Daten haben, vermag deshalb insgesamt nicht zu überzeugen. Möglicherweise haben die Gutachter weniger eine juristische Präzisierung als eine kommunikationssoziologische Beschreibung geben wollen, da sie den Datenschutz – durchaus zutreffend – als Teil der »Informations- und Kommunikationsordnung« einordnen, wenn auch als einen »allenfalls randständigen« Teil (Roßnagel u. a. 2002, S. 38). Angesichts der wirtschaftlichen Bedeutung personenbezogener Daten, etwa für Finanztransaktionen (Kilian/ Scheja 2002), bildet jedoch die klare Zuordnung der Verfügungsrechte rechtlich und ökonomisch die Grundlage für verfahrensmäßige und technische Optimierungen innerhalb der Informations- und Kommunikationsordnung. Effektivität des Datenschutzes, den die Gutachter auch im nichtöffentlichen Freundesgabe Büllesbach 2002 Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung? 157 Bereich erreichen wollen, wenn personenbezogene Daten den Gegenstand oder die Bestandteile von Markttransaktionen bilden, lässt sich durch niedrige Transaktionskosten erreichen. Viele staatliche Regulierungen erzeugen einen organisatorischen oder technischen Anpassungsbedarf und machen den Datenschutz aus ökonomischer Sicht zu einem »nichttarifären Handelshemmnis« (non-tariff barrier). Staatliche Regelungen sollten sich deshalb auf die Sicherung von Rahmenbedingungen für die marktmäßige Durchsetzung von Verfügungsrechten beschränken. Transaktionskosten lassen sich auf verschiedene Weise reduzieren. Gäbe man den Unternehmen das Recht, über personenbezogene Daten der Kunden oder der Arbeitnehmer frei verfügen zu können, entfiele das Problem der Informationsbeschaffung. Rechtlich bedeutete dies aber die Zuerkennung eines primären Verfügungsrechts an personenbezogenen Daten Dritter, wodurch das informationelle Selbstbestimmungsrecht dieser Marktteilnehmer leer liefe. Ein solcher Fall ist auch bei einer Opt-out-Lösung (§ 6 TDSG) gegeben, weil das primäre Verfügungsrecht bei einem Unternehmen liegt und die Ausübung eines Opt-out den Betroffenen einseitig mit Zusatzkosten belastet. Transaktionskosten könnte man ferner dadurch senken, dass Unternehmen Datenschutzvorschriften nicht beachteten. Dies kommt in der Praxis mangels wirksamer externer Kontrolle nicht selten vor, verhindert aber die Effektivität des Datenschutzes und sollte deshalb als Alternative außer Betracht bleiben. Über den Markt erzeugte Effektivität des Datenschutzes ist dann ausgeschlossen, wenn zwingende Vorschriften die Erhebung, Verarbeitung und Nutzung personenbezogener Daten anderweitig regeln. Der Staat in Erfüllung seiner schützenden oder sozialen Funktion beschafft sich personenbezogene Daten für öffentliche Zwecke kostenlos. Dies ist im Interesse aller auch gerechtfertigt, weil sonst Steuern erhöht werden müssten, um personenbezogene Daten für öffentliche Zwecke zu erlangen. Neben der öffentlichen Verwaltung ist der Arbeitsbereich weithin reguliert, soweit personenbezogene Daten betroffen sind. Der einzelne Arbeitnehmer als Verfügungsbefugter wäre wohl auch überfordert, mit dem Arbeitgeber in Einzelverhandlungen einzutreten. Deshalb finden sich hier institutionelle Arrangements (Betriebsrat; Betriebsvereinbarungen; betriebliche Datenschutzbeauftragte; Verhaltensregeln), die als »Institutionen« im ökonomischen Sinn Entscheidungsprobleme für viele gleichzeitig lösen. Außerhalb des Marktmechanismus liegen schließlich auch autoritative Zuordnungen von Nutzungsrechten aufgrund von Bewertungen der Interessen. Die Präferierung einer Marktseite ohne Kompensation der Marktgegenseite (etwa die Interessenabwägung im Rahmen des § 28 BDSG) erhält ihre Legitimation durch das festgelegte Verfahren. So hat der Europäische Gerichtshof in seiner bisher einzigen unter Berufung auf die Datenschutzrichtlinie 95/46/EG ergangenen Entscheidung, bei der es um die Herausgabe von personenbezogenen Daten eines landwirtschaftlichen Erzeugers aus Anträgen auf EU-Beihilfen, die nach der VO (EWG) Nr. 3508/92 vom 27.11.1993 Freundesgabe Büllesbach 2002 158 Kilian ABl. L 391, S. 36 zu dokumentieren sind, an einen Betriebsnachfolger ging, keine überwiegenden Interessen des Beihilfe-Antragstellers auf Geheimhaltung erkennen können, sondern unter Hinweis auf Art. 7 lit. f. der Richtlinie 95/ 46/EG grünes Licht für die (kostenlose) Herausgabe gegeben (EuGH vom 14.9.2000, The Queen gegen Minister of Agriculture, Rs. C-369/98, Slg. 2000, I – 6751 = DuD 2001, S. 685). Privatrechtssubjekte können untereinander rechtlich keinen Zwang über die Art und Weise der Ausübung des informationellen Selbstbestimmungsrechts ausüben. Das Grundrecht gewährleistet »die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen« (BVerfGE 65, 1 (43) – Volkszählungsurteil). Die Zuordnung eines Verfügungsrechts über die personenbezogenen Daten ist also Voraussetzung für die Ausübung des informationellen Selbstbestimmungsrechts im Privatrechtsverkehr. Personenbezogene Daten müssen deshalb als in Marktprozesse eingebettet angesehen und analysiert werden. Bestünden kostenlose Übermittlungspflichten, käme es überhaupt nicht mehr auf die primäre Verfügungsberechtigung an. Der Schutz der Privatsphäre, die im allgemeinen Persönlichkeitsrecht (§ 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, 1 Abs. 2 GG) wurzelt (BVerfG NJW 2000, S. 1021 (1022)), schließt auch die Freiheit zum Ver-lassen der Privatsphäre in Richtung »Marktplatz« ein. Die Entscheidung über eine Kommerzialisierung personenbezogener Daten (Weichert 2001, 1463), die von schlichten Führerscheindaten (Reno v. Condon (98 – 1464) 155 f. 3d 453 (US Supreme Court) bis zu Daten individueller Personen über deren Zelllinien aus Lymphocyten für Patentzwecke (Moore v. Regents of University of California, 793 P. 2d 479 (Supreme Court of California 1990)) reichen kann, sollte nicht der Staat, der Forscher, die datenverarbeiten3 de Stelle oder das Unternehmen , sondern die Person treffen, die Träger dieser Information ist, soweit nicht vorrangige, durch Gesetz festgelegte Interessen dies ausschließen. Das Recht auf informationelle Selbstbestimmung auch im Hinblick auf Informationen, die sich auf den eigenen Körper beziehen und physische oder zeitliche Relationen einer einzigartigen Person enthalten, können als eigentumswerte Persönlichkeitsrechte – ähnlich wie das Urheberpersönlichkeitsrecht – den Gegenstand von Marktprozessen bilden. Als Grenze ist das Verbot der Verletzung der Menschenwürde zu beachten (Art. 1 4 Abs. 1 GG). Im Hinblick auf die Verfügungsbefugnis über personenbezogene Daten stehen Individualität und Gemeinschaftsbezogenheit in einem Spannungsverhältnis (Hufen 2001, S. 105 ff.). Marktorientierter Datenschutz und Allgemeininteressen müssen in ein »System informationeller Garantien« (Fiedler 2001, S. 311) eingebunden sein. Der »Systemdatenschutz« im Sinne des Modernisierungsgutachtens leistet aber keinen Beitrag zum Interessenausgleich, sondern dient der Sicherung des jeweiligen Marktwerts der Daten. Der Schwerpunkt des Modernisierungsgutachtens liegt eindeutig in der Propagierung technischer Unterstützung zur Optimierung der als geklärt vorausgesetzten Verfügungsbefugnisse über personenbezogene Daten. Insoweit Freundesgabe Büllesbach 2002 Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung? 159 werden interessante Perspektiven aufgezeigt und juristisch umgesetzt. Die Möglichkeiten der technischen Optimierung sollten jedoch nicht zu übertriebenem Optimismus für die praktische Verwirklichung verleiten. Bereits die Umsetzung der EG-Datenschutzrichtlinie 95/46/EG in deutsches Recht verstößt gegen vorrangiges europäisches Recht, soweit das Ziel der Datensicherung, möglichst den »Stand der Technik« zu erreichen, nicht als Formulierung ins deutsche Recht übernommen worden ist (Art. 17, Abs. 1, 2. Unterabs. RL 95/46/EG; § 9 BDSG). Ferner sind die bisherigen Erfahrungen, auf dem Weg über eine freiwillige Selbstkontrolle zu einem effektiveren Datenschutz zu gelangen, eher ernüchternd: Von den 135 Organisationen in den U.S.A., die sich bis Ende 2001 auf die Safe-Harbor-Grundsätze verpflichtet hatten (http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list), besaßen 134 eigene Datenschutzgrundsätze (privacy policies) und 61 nahmen zusätzlich an externen 5 Datenschutzprogrammen teil. Nur 40 Unternehmen unterwarfen sich den von den privaten Organisationen angebotenen Schiedsverfahren, und lediglich zehn Unternehmen stimmten einer anlassunabhängigen Kontrolle der Einhaltung der Grundsätze einer externen unabhängigen Organisation zu. Die Federal Trade Commission (FTC) fordert – entgegen ihrer früheren Meinung – in ihrem Bericht für das Jahr 2000 gesetzliche Maßnahmen zur Unterstützung der Selbstregulierung, weil die Selbstregulierung allein nicht ausreiche (http://www.ftc.gov/reports/privacy2000.pdf). »Regulierung der Selbstregulierung« und nicht »Selbstregulierung der Regulierung« mag der nicht überraschende Kompromiss lauten. Datenschutzrechtliche Selbstverpflichtungserklärungen, die bei Markttransaktionen mit personenbezogenen Daten zugrunde gelegt, aber nicht eingehalten werden, können nach deutschem Recht zu Ansprüchen aus vertraglichen Pflichtverletzungen führen (§§ 280, 281 BGB n. F.). Alfred Büllesbach, der als früherer Landesdatenschutzbeauftragter in Bremen und nun als Konzerndatenschutzbeauftragter der DaimlerChrysler AG in Stuttgart die Entwicklung des Datenschutzrechts nicht nur beobachtet, sondern mitgestaltet hat, möchte ich abschließend mit dem treffenden Satz zitieren: »Der Ordnungsanspruch des Staates sollte sich von der Regulierung des »Rechtlichen Könnens« weg bewegen und die Gestaltung einer Struktur anstreben, die die Betroffenen im Rahmen ihres ›Rechtlichen Könnens‹ dazu befähigt, selbstbestimmt an der Informationsgesellschaft teilzunehmen« (Büllesbach 2000, S. 21). 1 2 3 409 Gesetze und Verordnungen auf Bundesebene, in denen »Datenschutz« vorkommt, vgl. Roßnagel/Pfitzmann/Garstka S. 30. »Zweifellos handelt es sich bei Krankheitsdiagnosen um höchstpersönliche und sensible Daten des Erkrankten«; Auskunftsinhalte kann der Arzt nicht in eigenem Namen geltend machen, BVerfG NJW 2001, 883 (884). Das US-Unternehmen Double-Click verfügt über 100 Mio. Konsumentenprofile aus InternetTransaktionen, die ohne Kenntnis der Betroffenen entstanden sind, vgl. Enzmann u. Roßnagel, CR 2002, S. 141 ff. Freundesgabe Büllesbach 2002 160 4 5 Kilian Interessant ist die angedeutete Ausgrenzung von Art. 1 Abs. 1 GG als Begründungsbasis des informationellen Selbstbestimmungsrechts bei Hoffmann-Riem, AöR 123 (1998), 513 (520). Z.B. BBBOnline; TRUSTe; DMA. Literatur Büllesbach, Alfred (Hrsg.) (2000): Datenverkehr ohne Datenschutz?, Köln 2000. Enzmann, M. / Roßnagel, A.: Realisierter Datenschutz für den Einkauf im Internet. Das Projekt DASIT. In: CR 2002, 141 ff. Fiedler, W. (2001): Der Staat im Cyberspace. In: Informatik Spektrum 2001, S. 309. Hoffmann-Riem, W. (1998): Informationelle Selbstbestimmung in der Informationsgesellschaft. In: AöR 123 (1998), S. 513 ff. Hufen, F. (2001): Schutz der Persönlichkeit und Recht auf informationelle Selbstbestimmung. In: P. Badura / H. Dreier (Hrsg.), 50 Jahre Bundesverfassungsgericht, Bd. 2, Tübingen 2001, S. 105 ff. Jarrass, H. (2001): Die Grundrechte: Abwehrnormen und objektive Grundsatznormen – Objektive Grundrechtsgehalte, insbes. Schutzpflichten und privatrechtsgestaltende Wirkung. In: P. Badura / H. Dreier (Hrsg.), 50 Jahre Bundesverfassungsgericht, Bd. 2, Tübingen 2001, S. 35 ff. Kilian, W./Scheja (2002): Freier Datenfluss im Allfinanzkonzern?, BB 2002 (Beilage 3 zu Heft 14), S. 19. Podlech, A. (1982): Individualdatenschutz – Systemdatenschutz. In: Brückner/ Dalichau (Hrsg.), Festgabe für Hans Grüner, Percha 1982, S. 451 ff. Roßnagel/Pfitzmann/Garstka (2002): Modernisierung des Datenschutzrechts. Gutachten im Auftrag des Bundesministers des Innern, <www.dud.de/dud/ documents/modernisierung-dsrecht.pdf.> Steinmüller, W. (1993): Informationswissenschaftliche und technische Voraussetzungen einer neuen Informationsordnung, NfD 44 (1993), S. 215 ff. Weichert T. (2001): Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung. In: NJW 2001, S. 1463. Freundesgabe Büllesbach 2002 161 Bettina Sokol/Roul Tiaden Big Brother und die schöne neue Welt der Vermarktung personenbezogener Informationen In der zweiten Hälfte des letzten Jahrhunderts war Big Brother das Synonym für einen Orwell´schen Überwachungsstaat, der alle Daten und Bewegungen seiner BürgerInnen erfasst und sie so – als gläserne Untertanen – umfassend kontrolliert. Heute wird mit Big Brother vor allem die gleichnamige Fernsehsendung assoziiert. Die schrieb Mediengeschichte, weil hier Menschen – in der Hoffnung auf Reichtum und Ruhm – mehrere Monate lang auf nahezu jede Privatsphäre verzichteten und sich rund um die Uhr einem Millionenpublikum zur Schau stellten. Der Bedeutungswandel von Big Brother – von George Orwells Klassiker 1984 zum Fernsehformat eines Privatsenders – spiegelt die gesellschaftlichen Entwicklungen der letzten Jahrzehnte im Umgang mit personenbezogenen Informationen wider. Die im Zuge rasanten technischen Fortschritts exponentiell anwachsende kommerzielle Datenverarbeitung durch Private bringt neue Herausforderungen für die informationelle Selbstbestimmung mit sich. Gleichzeitig wandelt sich die Rolle der Betroffenen von bloßen Objekten verantwortlicher Stellen zu WirtschaftsbürgerInnen, die ihre personenbezogenen Daten zunehmend als HändlerInnen in eigener Sache vermarkten. Gibt es Grenzen der (Selbst-) Vermarktung? Degeneriert das Grundrecht auf informationelle Selbstbestimmung zum Recht auf informationelle Selbstveräußerung? »It´s the economy, stupid!« – Vom staatlichen zum privaten Leviathan Mit der technischen Entwicklung von staatlichen Großrechnern zur allgegenwärtigen, vernetzten und miniaturisierten Datenverarbeitung und Digitalisierung wandelten sich auch die Herausforderungen für die informationelle Selbstbestimmung. Nicht mehr allein der volkszählende und rasterfahndende Staat, sondern auch datensammelnde Unternehmen werden verstärkt als Gefahrenquellen für die Selbstbestimmung betrachtet. So fürchten sich die BürgerInnen heute weniger vor dem Überwachungsstaat als vor kommerziellen Datenverarbeitern, die sie in gläserne Versicherungsnehmer, gläserne Internetnutzerinnen, gläserne Kunden und gläserne Beschäftigte verwandeln können. Dies belegt eine repräsentative Befragung zum Datenschutz aus dem Jahr 2001 (Opaschowski 2001). Danach ist das Vertrauen der Befragten, dass ihre personenbezogenen Informationen stets datenschutzgerecht verwandt werden, bei Polizei (60%) und Verfassungsschutz (57%) deutlich größer als bei Versicherungen (37%), Internetanbietern (10%) und beim Versand- (10%) und Adresshandel (8%). Auch wenn subjektives Vertrauen und objektive Gefährdungslage nicht zwangsläufig übereinstimmen müssen, zeigt sich in den Freundesgabe Büllesbach 2002 162 Sokol/Tiaden Umfrageergebnissen jedenfalls ein erhebliches Misstrauen gegenüber kommerziellen Datenverarbeitern. Diese Entwicklung – von der Furcht vor dem Überwachungsstaat zu einer verstärkt wahrgenommenen Gefährdung der Privatsphäre durch datenverarbeitende Unternehmen – könnte mit einem Wahlkampf-Slogan Bill Clintons aus den neunziger Jahren überschrieben werden: »It´s the economy, stupid!« In der Wirtschaft spielt (derzeit) die Musik für den Datenschutz – trotz der »Otto-Kataloge« des Bundesinnenministers und des Revivals der Rasterfahndung nach den Anschlägen vom 11. September. 2001. Die kommerzielle Nutzung der digitalen Revolution bringt die qualitativ neuen Herausforderungen für den Datenschutz. Vor allem in diesem Bereich wird sich das Recht auf informationelle Selbstbestimmung in den nächsten Jahren bewähren müssen. Datenhandel in Zeiten technischen Wandels Der Handel mit personenbezogenen Daten ist kein neues gesellschaftliches Phänomen, sondern vielfach ein Gewerbe mit Tradition. Detekteien, Auskunfteien, Adresshandel und Medien, insbesondere die Boulevardpresse, verdienen seit mehr als hundert Jahren ihr Geld mit personenbezogenen Informationen. Bereits im 19. Jahrhundert gab es in Deutschland die ersten Adresshändler, die ersten Kreditauskunfteien – die jüngere SCHUFA feiert in diesem Jahr ihren 75. Geburtstag – und sogar Paparazzi: zwei Journalisten drangen 1898 in das Sterbezimmer Otto von Bismarcks und fotografierten den Verstorbenen, um die Bilder anschließend meistbietend zu verkaufen. Die rasanten wissenschaftlichen und technischen Entwicklungen der letzten Jahrzehnte haben indes qualitativ und quantitativ neue Dimensionen in den Handel mit personenbezogenen Daten gebracht. Online-Auskunfteien, Internet-Pranger und Credit-Scoring Die Frage vieler Unternehmen, wie zahlungskräftig ihre (potentiellen) KundInnen sind, gewinnt in der Informationsgesellschaft stetig an Bedeutung. Mit der Entwicklung vom anonymen Barkauf zum personalisierten bargeldlosen Kreditkauf – innerhalb oder außerhalb des Internets – entsteht eine wachsende Nachfrage nach Bonitätsinformationen. Diese werden von OnlineAuskunfteien und Internet-Warndateien angeboten. In Sekundenschnelle können Unternehmen per Knopfdruck automatisiert vielfältige Auskünfte über die Kreditwürdigkeit ihrer potentiellen (Online-) KundInnen abrufen. Dabei beschränken sich die Auskunfteien längst nicht mehr darauf, nur Auskünfte über Personen zu liefern, zu denen sog. Negativdaten über vertragswidriges Verhalten vorliegen. Beim Credit-Scoring werden unbescholtene (potentielle) KundInnen automatisiert in statistische Risikogruppen eingeteilt. Diese prognostizieren die Wahrscheinlichkeit eines Kreditausfalls oder Freundesgabe Büllesbach 2002 Big Brother und die schöne neue Welt der Vermarktung personenbezogener Informationen 163 einer Zahlungsunfähigkeit. Bei der Berechnung des Scorewertes spielen insbesondere statistische, soziodemographische Informationen, die mit personenbezogenen Daten verknüpft werden, eine große Rolle. Für die Betroffenen kann dies eine Schlechterbehandlung im Geschäftsverkehr bedeuten, auch wenn sie sich bislang stets vertragsgemäß verhalten haben. Das Internet lässt mehr und mehr UnternehmensgründerInnen vom Aufbau einer eigenen Online-Warndatei träumen. Besonders bedenklich ist, dass einige Geschäftsleute eine mittelalterliche Praxis wiedereinführen wollen: SchuldnerInnen sollen – datenschutzwidrig – öffentlich angeprangert werden. Nur steht der Pranger nicht mehr auf dem städtischen, sondern auf dem weltweiten virtuellen Marktplatz, im Internet. Einmal – aus welchen Gründen auch immer – an den Internetpranger gestellt, kann die diskriminierende personenbezogene Information weltweit abgerufen werden und ist – wegen möglicher downloads – nicht mehr sicher rückholbar. Data Warehouse, Data Mining und Online Profiling Die Adresshandel- und Direktmarketing-Branche boomt in den letzten Jahrzehnten. Unternehmen wollen wissen, wem sie was verkaufen können, wie sie bisherige KundInnen binden und neue KundInnen gewinnen können. Dafür benötigen sie möglichst umfassende Informationen über die KundInnen: Kaufkraft, Konsumeigenschaften, sozialer Status, Alter, Familienstand, Vorlieben, Hobbys, Lebenseinstellungen – je umfassender das Persönlichkeitsbild, desto berechen- und beeinflussbarer (scheint) das Verbraucherverhalten. Data Warehouse, Data Mining, Customer Relationship Management und Online Profiling sind einige der zahlreichen Schlagworte beim lukrativen Handel mit Kundendaten. Die dritte technische Revolution bringt sowohl exponentiell wachsende Datenbestände über die VerbraucherInnen als auch die technischen Hilfsmittel, um die Informationen intelligent und profitabel auswerten zu können. So ermöglichen die elektronischen Bestell- und Zahlungssysteme, die zunehmend an die Stelle des anonymen Barkaufs treten, enorme Datensammlungen über das Kauf- und Zahlungsverhalten der Kunden. Auch Kundenbindungs- und Rabattsysteme sowie die offene oder versteckte Erhebung von Daten im Internet helfen, Kunden- und Persönlichkeitsprofile zu erstellen (sog. Online Profiling). Um das Surf- und Nutzungsverhalten im Netz zu erfassen, werden unter anderem Log-Dateien und Registrierungsdaten systematisch ausgewertet und Spezialanwendungen wie Cookies, Packet-SniffingTechnologien und Web Bugs eingesetzt (vgl. Buxel DuD 2001, 579; Schaar DuD 2001, 383). Damit die in den unterschiedlichen Bereichen eines Unternehmens oder eines Konzerns anfallenden Kundendaten für das Direktmarketing verwertbar sind, müssen sie losgelöst vom bisherigen Zweck zeit- und funktionsgerecht zur Verfügung stehen, z.B. in einer operativen Datenbank. Das ist die Aufgabe Freundesgabe Büllesbach 2002 164 Sokol/Tiaden der sog. Data Warehouses, der Daten-Lagerhäuser. Ist der Zugriff auf die Datensammlungen möglich, werden daraus im Wege des Data Minings die für die Kundenbindung oder -gewinnung profitablen Informationen herausgearbeitet. Programme künstlicher Intelligenz analysieren die Daten unter speziellen Fragestellungen, stellen automatisiert neue Zusammenhänge her und decken Muster auf – etwa im Kundenverhalten. Angereichert mit soziodemographischen und mikrogeographischen Daten werden diese Informationen für zielgruppenorientiertes Marketing genutzt (vgl. Büllesbach CR 2000, 11; Wittig RDV 2000, 59 ff.) Von Untertanen zu WirtschaftsbürgerInnen – die neue Rolle der Betroffenen Der anfangs erläuterte Bedeutungswandel von Big Brother spiegelt auch die wandelnde Rolle der Betroffenen wider: von der Untertanin zur Wirtschaftsbürgerin, vom bloßen Objekt verantwortlicher Stellen zur Händlerin in eigener Sache. Betroffene beteiligen sich heute aktiv an der Verwertung und Veräußerung ihrer personenbezogenen Daten. Personenbezogene Informationen sind eine Handelsware, die zunehmend auch DurchschnittsbürgerInnen in Geld umwandeln können. So wie die Akteure bei Big Brother nicht Opfer einer versteckten Kamera wurden, so sind auch die TeilnehmerInnen eines modernen Kundenbindungsund Rabattsystems keine Opfer einer heimlichen Kundenprofilierung. Die jeweiligen »Betroffenen« beteiligen sich vielmehr in Erwartung materieller Vorteile oder aufgrund finanzieller Anreize aktiv an der Erhebung und Kommerzialisierung ihrer Daten. Bonuspunkte in einem Kundenbindungsprogramm sind nicht mehr nur anonym gewährte Rabattmarken, sondern auch eine Gegenleistung für die Einwilligung, Daten über das individuelle Kaufverhalten erheben, verarbeiten und nutzen zu dürfen. Die TeilnehmerInnen lassen sich dabei die Preis-Gabe ihrer personenbezogenen Daten in Cent und Euro auszahlen. Die Vermarktung von Daten mit aktiver kommerzieller Beteiligung der Betroffenen gewinnt in den Bereichen an Bedeutung, in denen personenbezogene Informationen nicht auf gesetzlicher Grundlage, sondern mit Einwilligung der Betroffenen erhoben, verarbeitet und genutzt werden sollen, wie zum Beispiel beim Handel mit detaillierten Kundendaten. Bislang werden vor allem Preisausschreiben oder Gewinnspiele eingesetzt, um Anreize für die Teilnahme an VerbraucherInnen- und Life-Style-Umfragen zu schaffen. Ähnliches geschieht im Internet, wenn Personen unter der Bedingung an Spielen oder Wettbewerben teilnehmen dürfen, dass sie personenbezogene Daten als Grundlage für Kundenprofile beisteuern, sog. »Cybermarketing mit Anreizen« (Schaar DuD 2001, 383, 384). Eine neue Variante im Handel mit Kundendaten beteiligt die Befragten aktiver an der Verwertung ihrer Daten und lässt sie am Erlös mitverdienen. Die Betroffenen entscheiden dabei selbst, welche personenbezogenen InformaFreundesgabe Büllesbach 2002 Big Brother und die schöne neue Welt der Vermarktung personenbezogener Informationen 165 tionen sie für den Verkauf an Firmen, Banken und Versicherungen preisgeben. Je umfassender, profilgenauer und aktueller die Daten, desto höher der Erlös, von dem die Betroffenen einen prozentualen Anteil erhalten. Kommentar der Konkurrenz: »Menschen sind halt käuflich.« Wer Big Brother gut finde oder sogar dabei mitmache, werde auch keine Hemmungen haben, seine Badegewohnheiten öffentlich zu machen (vgl. Langrock W&V 20/2000). Eine andere Geschäftsidee ermöglicht es KundInnen, Computer zu mieten und den Mietzins zu reduzieren, indem sie als Gegenleistung personenbezogene Daten offenbaren. Wer beim Surfen im Netz gegenüber diversen OnlineUnternehmen Angaben über Einkommensverhältnisse, Hobbys und Kreditkartennutzung macht, zahlt weniger Miete. Pro Angabe wird ein Betrag gutgeschrieben, so dass die Zahlungsverpflichtung maximal auf null sinkt (Weichert 2000, 158). Kommerzialisierung ohne Grenzen? Angesichts einer immer umfassenderen und intensiveren Kommerzialisierung personenbezogener Informationen stellt sich die Frage, welche Grenzen es insoweit gibt oder geben sollte. Die bestehende Datenschutzrechtslage im Bereich wirtschaftlicher Betätigungen von Privatunternehmen und Privatpersonen ist davon geprägt, dass eine Verarbeitung personenbezogener Daten, die seit der Novelle des Bundesdatenschutzgesetzes 2001 bereits mit deren Erhebung beginnt, nur auf Grund einer Rechtsvorschrift oder mit einer Einwilligung der davon betroffenen Person erlaubt ist. Wollen die betroffenen Personen ihre Daten – mit oder ohne Einschaltung einer Maklerfirma – vermarkten, kann davon ausgegangen werden, dass sie in die Datenverarbeitung einwilligen wollen, da die Datenpreisgabe ja gerade die Erwerbsquelle ist. Ob ein solcher Sachverhalt juristisch als Vertragsverhältnis, beispielsweise als Datenüberlassungsvertrag (so Weichert 2000, 158) oder als Einwilligungsvorgang zu qualifizieren wäre, soll vorliegend nicht weiter verfolgt werden. Einwilligungen sind widerrufbar und Verträge in aller Regel kündbar. Die Vertragsfreiheit ist im Falle strukturell ungleicher Verhandlungsstärke nicht nur im Arbeits-, Miet- und Versicherungsrecht Beschränkungen unterworfen (vgl. BVerfGE 89, 214/299 ff.). Die datenschutzrechtlichen Grenzen der Einwilligung könnten möglicherweise auch entsprechend auf die Vertragsfreiheit übertragen werden. Dies zu prüfen ist hier allerdings nicht der Ort, so dass das Augenmerk auf die Einwilligung zu richten ist. Einwilligungsvoraussetzungen Auch mit einer Einwilligung ist nicht alles erlaubt, was möglich wäre. Gesetzgebung und Rechtsprechung haben hier Grenzen gezogen und Anforderungen gestellt, die durch das Allgemeininteresse legitimiert sind. Freundesgabe Büllesbach 2002 166 Sokol/Tiaden Nur freiwillig erteilte Einwilligungen sind nach § 4 a BDSG überhaupt wirksam. Zu den weiteren Einwilligungsvoraussetzungen gehören u.a. die vollständigen und in verständlicher Weise gegebenen Informationen über den Umfang und die Zwecke der beabsichtigten Erhebung, Verarbeitung oder Nutzung der dafür vorgesehenen personenbezogenen Daten. Dies soll der betroffenen Person nicht nur die bloße Kenntnis von den Einzelheiten des jeweils geplanten Vorhabens vermitteln, sondern sie in die Lage versetzen, die Tragweite ihrer Entscheidung überblicken zu können. Die grundsätzlich erforderliche Schriftlichkeit der Einwilligung nebst eigenhändiger Unterschrift soll einen gewissen Schutz vor einem übereilten Handeln und etwaigen Missverständnissen bieten. Die Erteilung der Einwilligung soll eine informierte, bewusste, beabsichtigte und völlig freie Entscheidung sein. Ausgleich von Machtungleichgewichten Eine freie und freiwillige Entscheidung ist eine Entscheidung »ohne Zwang«, wie es die EG-Datenschutzrichtlinie in ihrem Art. 2 Buchst. h) fordert. Wann sind Entscheidungen ohne jeden Zwang, auch ohne jeden faktischen Zwang? Allgemein anerkannt ist, dass bei Machtungleichgewichten von einer echten Freiwilligkeit höchst selten die Rede sein kann. Abhängigkeiten oder faktische Zwänge etwa – wie beispielsweise auf dem Arbeits- oder dem Mietwohnungsmarkt – sollen durch rechtliche Regulierungen teilweise ausgeglichen werden. Auch im Versicherungswesen gibt es in vielen Bereichen ausgehandelte Standardformulierungen, die regelmäßig nicht oder nur in engen Grenzen zur Disposition der Beteiligten stehen. Ausgehandelt und festgelegt werden sie aber nicht von den einzelnen Personen, um deren Daten es geht, sondern die Interessen der Betroffenen werden gegenüber den Unternehmen und deren Verbänden von den Datenschutzkontrollinstanzen wahrgenommen (vgl. Simitis, in: ders. u.a., BDSG, § 4 a Rn. 6 ff.). Zum Schutz der einzelnen Personen haben sie selber so gut wie keine Möglichkeiten mehr, die mit einer Einwilligung eigentlich verbundenen Fragen des Umfangs und der Bedingungen der Datenverarbeitung maßgeblich zu beeinflussen. Ihre Entscheidungsfreiheit besteht prinzipiell nur noch darin, vorgegebenen Bedingungen zuzustimmen oder zu verzichten. Unabdingbare Rechte Weitere Einschränkungen der Dispositionsbefugnis legt § 6 BDSG fest. Weder gänzlich ausgeschlossen noch auch nur beschränkt werden können danach die Rechte der betroffenen Person auf Auskunft und auf Berichtigung, Löschung oder Sperrung. Zwar muss niemand diese Rechte ausüben, jedoch ist es gesetzlich ausgeschlossen, in ihren Verzicht ausdrücklich einzuwilligen. Denn diese originären Bestandteile des Rechts auf informationelle SelbstFreundesgabe Büllesbach 2002 Big Brother und die schöne neue Welt der Vermarktung personenbezogener Informationen 167 bestimmung bilden zugleich Voraussetzungen seiner effektiven Ausübung. Die ausdrückliche Benennung der nach § 6 BDSG unabdingbaren Rechte der betroffenen Personen bedeutet allerdings nicht, dass alle dort nicht genannten Rechte zur freien Disposition stünden. Vielmehr ist das aufeinander abgestimmte System von Schutzinstrumenten im Bundesdatenschutzgesetz grundsätzlich zwingender Natur (Mallmann, in: Simitis u.a., BDSG, § 6 Rn. 17). Ausnahmen davon aufgrund von Einwilligungen sind gerade nicht unbegrenzt möglich. Elementare Funktionsbedingung der Demokratie Mit einer freiwillig, auch ohne jeden faktischen Zwang erteilten Einwilligung in eine Datenverarbeitung wird ein Grundrecht wahrgenommen. Freilich ist stets zu prüfen, ob durch die Offenbarung eigener Daten auch (Grund-)Rechte Dritter betroffen sind, weil beispielsweise die Daten Informationen über andere Personen – etwa Verwandte – enthalten. Darüber hinaus verleiht die im Recht auf informationelle Selbstbestimmung verankerte Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung der Daten zur eigenen Person zu bestimmen (BVerfGE 65, 1/43), allerdings keine eigentumsähnlichen Verfügungsmöglichkeiten. Auch das allgemeine Persönlichkeitsrecht ist nicht im Interesse einer Kommerzialisierung der eigenen Person gewährleistet (BVerfGE 101, 361). Ein wesentliches Ziel des Rechts auf informationelle Selbstbestimmung besteht vielmehr darin, die Kommunikations- und Handlungsfähigkeit der einzelnen Menschen gegenüber staatlichen Stellen wie auch innerhalb der Gesellschaft sicherzustellen. Unter anderem soll die Transparenz von Datenverarbeitungen für die betroffene Person die Verhaltensfreiheit ermöglichen. Neben der Funktion, die subjektiv-individuelle Verhaltensfreiheit zu sichern, stellt die informationelle Selbstbestimmung eine elementare Funktionsbedingung »eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens« (BVerfGE, 65, 1/43) dar. Die gesetzliche Regelungsnotwendigkeit des Datenschutzes hat damit individuelle wie gesamtgesellschaftliche Bedeutung. Der Verzicht einzelner Personen auf beispielsweise Transparenz und Kontrollmöglichkeiten der Datenverarbeitung wirkt sich langfristig auf die gesellschaftlichen Strukturen aus, weil die Kommunikations- und Handlungsfähigkeit gemindert werden und sich die Manipulationsmöglichkeiten verstärken. Dies ließe die informationelle Selbstbestimmung in ihrer objektiven Funktion letztlich zu einer leeren Hülse werden. Freundesgabe Büllesbach 2002 168 Sokol/Tiaden Gesetzgeberischer Handlungsbedarf Wenn »Einverständnis und Entgelt« die Datenschutzgesetze darauf reduzieren, »eine reibungslose Vermarktung sicherzustellen« (Simitis 1999, 5), die Kommerzialisierung personenbezogener Daten andererseits sicherlich nicht gänzlich unterbunden oder gar nur aufgehalten werden kann (Weichert 2000, 158), ist gleichwohl die gesellschaftliche Diskussion über diese Entwicklung notwendig und die Frage nach gesetzgeberischem Handlungsbedarf zu stellen. In Betracht zu ziehen sind die verstärkte Durchsetzung der Datenvermeidung ebenso wie eine Neuregulierung der Einwilligung. Das Recht auf informationelle Selbstbestimmung wird im Hinblick auf eine Preisgabepflicht bestimmter Daten – legitimiert durch Allgemeininteressen – schon vielfach gesetzlich beschränkt. Gleiches könnte im Hinblick auf eine Geheimhaltungspflicht bestimmter Daten überlegt werden. Diskutiert werden könnte auch, ob die Eindämmung des Datenhandels als berechtigtes Allgemeinwohlanliegen und die Sicherstellung der Freiwilligkeit durch Verbote – etwa unabdingbare Zweckbindungsregelungen – erreicht werden könnten. Damit hätten sich auch einwilligungsfähige Datenverarbeitungen grundsätzlich im Rahmen der gesetzlich festgelegten Verarbeitungsbedingungen zu halten. Literatur: Büllesbach, Alfred (CR 2000), Datenschutz bei Data Warehouses und Data Mining, CR 2000, 11. Buxel, Holger (DuD 2001), Die sieben Kernprobleme des Online Profiling aus Nutzerperspektive, DuD 2001, 579. Opaschowski, Horst W. (2001): Der gläserne Konsument. Die Zukunft von Datenschutz und Privatsphäre in einer vernetzten Welt, Hamburg 2001. Schaar, Peter (DuD 2001), Persönlichkeitsprofile im Internet, DuD 2001, 383. Simitis, Spiros (1999): Die Erosion des Datenschutzes. In: LfD NRW Sokol, Bettina (Hrsg.): Neue Instrumente im Datenschutz, Düsseldorf 1999, 5. Simitis, Spiros u.a., Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. (im Erscheinen). Weichert, Thilo (2000): Zur Ökonomisierung des Rechts auf informationelle Selbstbestimmung. In: Bäumler, Helmut (Hrsg.): E-Privacy, Braunschweig/ Wiesbaden 2000, 158. Wittig, Petra (RDV 2000), Die datenschutzrechtliche Problematik der Anfertigung von Persönlichkeitsprofilen zu Marketingzwecken, RDV 2000, 59. Freundesgabe Büllesbach 2002 169 Alexander Dix Bedroht der Datenschutz die Informationsfreiheit? Anmerkungen zu einem heraufziehenden europäischen Konflikt Datenschutz und Informationszugang werden entweder als unauflösliche Gegensätze oder als komplementäre Freiheitsrechte des Einzelnen, als »zwei Seiten einer Medaille« bezeichnet. Die Europäische Grundrechte-Charta gewährleistet – wenngleich noch ohne rechtliche Verbindlichkeit – das Recht auf Datenschutz (Artikel 8) wie das Recht auf Zugang zu Dokumenten der EUInstitutionen (Artikel 42) gleichermaßen und bildet insoweit den Kern einer entstehenden europäischen Informationsverfassung. Damit scheint die Charta die »Medaillen-These« zu stützen. Aber wie weit trägt dieses Bild wirklich? Diese Frage stellt sich zunehmend auch in globalen Konzernen, die nationale Transparenzanforderungen mit gesetzlichen Datenschutzregelungen und unternehmensinternen »privacy policies« in Einklang bringen müssen. Die Antwort darauf hat eine materiell-rechtliche und eine prozedurale Seite. Die Suche nach dieser Antwort ist mehr als nur eine akademische Übung, sondern von erheblicher praktischer Bedeutung. Dabei ist auch eine Auseinandersetzung mit der These erforderlich, die der Europäische Bürgerbeauftragte jüngst formuliert hat, wonach der Datenschutz eine neue Bedrohung für die Informationsfreiheit auf europäischer Ebene geworden sei (Söderman 2001, 16). 1. Das materiell-rechtliche Verhältnis von Datenschutz und Informationszugang Zunächst ist zu Recht auf die gleiche Zielrichtung von Datenschutz- und Informationszugangsgesetzen hingewiesen worden: Es geht stets um die Begrenzung von Informationsmacht staatlicher und privater Datenverarbeiter und »Informationsbesitzer« gegenüber dem einzelnen betroffenen Menschen (Sokol, 1998, S. 41; Burkert 1999, S. 102). Mit den Worten des ersten ungarischen Parlamentsbeauftragten für Datenschutz und Informationsfreiheit: »Der gemeinsame Zweck des Datenschutzes und der Informationsfreiheit ist die Aufrechterhaltung der Intransparenz von Bürgerinnen und Bürgern in einer Welt, die die Informationsrevolution erlebt hat, bei gleichzeitiger Herstellung 1 eines transparenten Staates. « (Majtényi, zit. in Raab 2001, S. 200) Das Datenschutzrecht selbst hat seit jeher zahlreiche auf Transparenz gerichtete Elemente, insbesondere den Auskunfts- und Einsichtsanspruch des Betroffenen bezüglich »seiner« Daten; der Zugang zu personenbezogenen Daten ist als Unterfall des allgemeinen Zugangs anzusehen (Burkert 1999, S. 94). Zugleich haben die Datenschutzgesetze einzelner Länder (Hessen, Rheinland-Pfalz und Berlin) schon früh als ihr Regelungsziel neben dem Schutz der informationellen Selbstbestimmung des Einzelnen auch die Kontrolle möglicher negativer Auswirkungen der Datenverarbeitung auf die Freundesgabe Büllesbach 2002 170 Dix informationelle Gewaltenbalance zwischen Legislative und Exekutive benannt (Burkert 1992, 218). Die allgemeine Informationsfreiheit will darüber hinaus das bestehende erhebliche Informationsungleichgewicht zwischen Exekutive einerseits und Bürgerinnen wie Bürgern andererseits jedenfalls insoweit verändern, als sie letzteren voraussetzungslose Informationsansprüche eröffnet. Dennoch wäre es verfehlt, von einer vollständigen Deckung oder Bedeutungsidentität der Begriffe »Datenschutz« und »Informationszugang« zu sprechen. Es gibt jeweils weite Bereiche des Datenschutz- und des Informationszugangsrechts, die keinerlei Berührungspunkte haben. So sei nur darauf hingewiesen, dass ein allgemeiner und voraussetzungsloser Zugang zum »Binnenrecht« der Verwaltung, den Myriaden von Verwaltungsvorschriften, keinerlei Datenschutzprobleme aufwirft, wenn man als selbstverständlich voraussetzt, dass der Unterzeichner einer solchen Vorschrift die Publizierung seiner Urheberschaft hinnehmen muss. Es erstaunt ohnehin, dass in einem Rechtsstaat, der dem Einzelnen aus dem Gleichheitsgrundsatz ein Recht auf Einhaltung einer gleichförmigen, in Verwaltungsvorschriften dokumentierten Verwaltungspraxis zubilligt, eben diese Vorschriften teilweise immer noch geheimgehalten werden. Insofern ist das Bild von den zwei Seiten einer Medaille (Schindel DuD 1999, 594) also zumindest irreführend. Treffender wäre es, von zwei sich schneidenden Kreisen zu sprechen, wobei offen bleiben kann, wie symmetrisch sich diese Kreise schneiden. Auch wenn es schwierig ist, hier eine quantitative Aussage zu treffen, spricht doch viel dafür, dass der größere Anteil der Informationen »in öffentlicher Hand« ohne Kollision mit dem Datenschutz offengelegt werden können. Das betrifft insbesondere alle Planungsverfahren, Haushaltspläne, Aktenpläne und andere Metadaten über die interne Struktur der Verwaltung, für die zum Teil – nach den Informationsfreiheitsgesetzen Berlins und Nordrhein-Westfalens – bereits aktive Informationspflichten der Verwaltung statuiert sind. Umgekehrt beschränkt sich der Datenschutz nicht nur auf Zugangsrechte, sondern regelt umfassend die Verwendung personenbezogener Daten durch Behörden und Unternehmen. Die Zugangsrechte der Betroffenen sind ein zentrales Element, die »Magna Charta« des Datenschutzes, der sich in ihnen jedoch nicht erschöpft. Mit Recht ist die Informationsfreiheit deshalb als das komplementäre Gegenstück des Datenschutzes bezeichnet worden (Hessischer Datenschutzbeauftragter, 1986, S. 165), die wie der Datenschutz die Struktur einer zivilen und demokratischen Informationsgesellschaft bestimmen sollte. Die informationelle Selbstbestimmung muss ergänzt werden um die informationelle Mitbestimmung und Teilhabe. Entscheidend ist, dass beide Prinzipien den Freiheitsraum des Einzelnen erweitern. Die 1998 von mehreren Datenschutzbeauftragten erhobene Forderung für einen entsprechenden Politikwechsel zum wirksameren Schutz der Privatsphäre (Landesbeauftragter für den Datenschutz und für das Recht auf Akteneinsicht /Berliner Datenschutzbeauftragter 1998, S. 9) hat allerdings auf Bundesebene trotz entsprechender Absichtserklärungen der Koalitionsparteien noch keine Wirkung gehabt. Freundesgabe Büllesbach 2002 Bedroht der Datenschutz die Informationsfreiheit? 171 Auch die Europäische Richtlinie zum Datenschutz von 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr hat das Komplementärverhältnis zwischen Datenschutz und Informationsfreiheit sowohl in ihrem Titel als auch in einem eigenen Erwägungsgrund (Nr. 72) anerkannt, der die Berücksichtigung des Grundsatzes des öffentlichen Zugangs zu amtlichen Dokumenten bei der Umsetzung dieser Richtlinie hervorhebt. Umgekehrt sieht auch die neue EU-Transparenzverordnung von 2001 vor, dass die Organe der Union den Zugang zu Dokumenten ausnahmsweise dann verweigern, wenn durch ihn der Schutz der Privatsphäre und der Integrität des Einzelnen, insbesondere gemäß den Rechtsvorschriften der Gemeinschaft über den Schutz personenbezogener Daten beeinträchtigt würde (Art. 4 (1)(b)). Auf europäischer Ebene ist man zwar nicht dem Vorbild der kanadischen Provinz Québec, Ungarns oder des schweizerischen Kantons Solothurn gefolgt, die alle über einheitliche Datenschutz- und Informationszugangsgesetze verfügen. Aber die genannten recht 2 allgemein gehaltenen wechselseitigen Verweisungen im europäischen Sekundärrecht sollten die Herstellung der nötigen praktischen Konkordanz zwischen Informationszugang und Datenschutz auch auf europäischer Ebene ermöglichen. Neuere Entwicklungen geben allerdings Anlass zu der Befürchtung, dass diese Erwartung zu optimistisch sein könnte. Das hat allerdings weniger materiellrechtliche als vielmehr institutionelle Gründe. 2. Der Europäische Bürgerbeauftragte als Widerpart des Europäischen Datenschutzbeauftragten? Eine wichtige Rolle bei der Durchsetzung der Transparenz und Zügänglichkeit von Informationen bei den Gemeinschaftsorganen spielt der seit 1995 einge3 richtete Europäische Bürgerbeauftragte (EU-Ombudsman) . Er hat zwar allen Bürgerbeschwerden über Missmanagement (maladministration) bei den Gemeinschaftsorganen nachzugehen und kein explizites Mandat zur Durchsetzung des Grundrechts aller Unionsbürgerinnen und Unionsbürger auf Zugang zu den Dokumenten der Europäischen Organe (Art. 255 4 EUV) . Der EU-Ombudsman legt aber seit jeher in seiner Praxis besonderes Gewicht auf den Aspekt der »guten Verwaltung« (good administrative practice), auf die die Europäische Grundrechte-Charta jedem ein noch unverbindliches Recht garantiert (Art. 41). Zur guten Verwaltung gehört nach der »ständigen Spruchpraxis« des Ombudsman die Transparenz von Entscheidungsprozessen und der Zugang zu Dokumenten und Informationen der Unionsorgane. In seinen Jahresberichten und mehreren Sonderberichten an 5 das Europäische Parlament hat der Bürgerbeauftragte wiederholt die in diesem Punkt zu restriktive Praxis der Gemeinschaftsinstitutionen kritisiert. Seine Feststellungen und die Unterstützung durch das Europäische Parlament haben mit dazu beigetragen, dass die Europäische Union heute über einen verbindlichen Rechtsrahmen für die weitgehende Öffnung der InformationsFreundesgabe Büllesbach 2002 172 Dix sammlungen ihrer Organe verfügt. Dessen Umsetzung zu begleiten und auf seine konsequente Einhaltung zu dringen, versteht der Bürgerbeauftragte weiterhin als eine seiner Hauptaufgaben. Im Jahr 2000 betrafen 28% der bei ihm eingegangenen zulässigen Beschwerden Fälle von verweigertem Informationszugang oder mangelhafter Transparenz (EU-Ombudsman 2000, S. 275). Demgegenüber ist die Rechtsentwicklung im europäischen Datenschutzrecht dadurch gekennzeichnet, dass mit der Verabschiedung der Datenschutzrichtlinie von 1995 zunächst die Mitgliedstaaten zur Harmonisierung ihres nationalen Datenschutzrechts verpflichtet wurden. Dieser Umsetzungsprozess wird begleitet durch die Gruppe nach Artikel 29 dieser Richtlinie, die sich aus Vertretern der nationalen Kontrollstellen (Datenschutzbeauftragten) zusammensetzt. Ein verbindliches Datenschutzregime für die Organe der Europäischen Union selbst existiert aber erst seit dem Inkrafttreten der Verordnung des Europäischen Parlaments und des Rates vom 18. Dezember 2000 (ABlEG L 008/1 v. 12.1. 2001) und der im Vertrag von Amsterdam vorgesehene Europäische Datenschutzbeauftragte hat selbst eineinhalb Jahre nach der Verabschiedung der Datenschutzverordnung sein Amt noch nicht angetreten. Bei Drucklegung dieses Beitrags hatten sich Parlament und Rat noch nicht auf die Ausstattung seines Amtes geeinigt. Diese Ungleichzeitigkeit mag auf historischen Zufälligkeiten beruhen, sie könnte aber auch ein Vorbote für heraufziehende institutionelle Konflikte in diesem Bereich sein. Dafür ist die Behandlung eines etwas skurril erscheinenden praktischen Falles kennzeichnend, für den eine Lösung auch gegenwärtig nicht in Sicht ist und über den letztlich möglicherweise der Europäische Gerichtshof zu entscheiden haben wird. Ein britischer Staatsbürger hatte sich gegen in Großbritannien geltende Bestimmungen (»Guest Beer Provision«) gewandt, die den Import deutschen Biers in das Vereinigte Königreich praktisch unterband. Er sah darin einen Verstoß gegen die Grundfreiheit des freien Warenverkehrs und das Diskriminierungsverbot des EG-Vertrags. Nachdem er sich darüber bei der Europäischen Kommission beschwert hatte, berief diese ein Treffen mit den britischen Behörden und einem europäischen Berufsverband der Bierbrauer ein, zu dem der Beschwerdeführer entgegen seinem ausdrücklichen Wunsch nicht eingeladen wurde. Wenig später wurde das britische Recht geändert und der Import deutschen Biers in Großbritannien erleichtert. Die Kommission betrachtete dadurch die Beschwerde des Importeurs als erledigt. Nicht so der Importeur selbst, der daraufhin beantragte, zu bestimmten Dokumenten bei der Kommission zu erhalten, die im Zusammenhang mit seiner Beschwerde von bestimmten Unternehmen und Organisationen eingereicht worden waren. Später verlangte er außerdem von der Kommission Auskunft darüber, wer in seiner Angelegenheit Dokumente zur »Guest Beer Provision« an die Kommission gesandt habe und insbesondere, wer an dem Treffen mit der Kommission und britischen Regierungsvertretern teilgenommen hatte. Er vermutete, dass sich die für das Brauereiwesen zuständigen Beamten und PoliFreundesgabe Büllesbach 2002 Bedroht der Datenschutz die Informationsfreiheit? 173 tiker unzulässig verhalten hätten. Nachdem die Kommission dieses Ansinnen zunächst völlig abgelehnt hatte, wandte sich der Bier-Importeur an den Europäischen Bürgerbeauftragten. Aufgrund der Intervention des Bürgerbeauftragten erklärt sich die Kommission lediglich bereit, die Namen derjenigen Gesprächsteilnehmer offen zu legen, die dem entweder ausdrücklich zugestimmt hätten oder auf eine entsprechende Anfrage nicht reagiert hätten. Die Namen der Gesprächsteilnehmer, die einer Weitergabe ausdrücklich nicht zugestimmt hatten, blieben (und bleiben bis heute) unter Verschluss. Dabei beruft sich die Kommission auf die Datenschutz-Richtlinie von 1995. Der Bürgerbeauftragte wiederum sieht darin eine Verletzung des Offenheitsgrundsatzes (Art. 1 Abs. 2 EUV), der prinzipiellen Vorrang vor dem Datenschutz habe. Im übrigen wiesen die gewünschten Informationen keinerlei Personenbezug auf, so dass die Datenschutz-Richtlinie nicht anwendbar sei. Selbst wenn man aber einen Personenbezug annehme, enthalte die Richtlinie mehrere Ausnahmebestimmungen, die in diesem Fall eine Offenlegung zuließen. Demgegenüber hat die Gruppe nach Art. 29 der Datenschutz-Richtlinie in ihrer Stellungnahme zum gleichen Fall (5/2001 (WP 44) zum Sonderbericht des Europäischen Bürgerbeauftragten, abrufbar unter http://europa.eu.int/ comm/internal_market/de/dataprot/wpdocs/index.htm), darauf hingewiesen, dass sie die Argumentation des Bürgerbeauftragten für zu wenig differenziert hält. Es könne keinen pauschalen Vorrang des Transparenzprinzips vor dem Datenschutz geben, vielmehr sei in jedem Einzelfall eine sorgfältige Abwägung zwischen dem Offenbarungsinteresse und dem Geheimhaltungsinteresse der betroffenen Bürger notwendig. Die Mitgliedstaaten der Union seien zur Beachtung beider Rechte (Datenschutz und Informationszugang) gleichermaßen verpflichtet. Das Europäische Parlament hat sich in diesem Konflikt mittlerweile recht eindeutig auf die Seite des Bürgerbeauftragten gestellt, indem es der Kommission eine falsche Interpretation der Datenschutzrichtlinie vorgehalten hat (Entschließung A5-0423/2001 vom 11.12. 2001 zu dem Sonderbericht des Bürgerbeauftragten an das Europäische Parlament). Das Parlament hat zugleich festgestellt, dass die Forderung nach Transparenz häufig mit dem Schutz der persönlichen Integrität kollidiert, und betont, dass das Ziel des Datenschutzes in erster Linie darin besteht, das Privatleben und sensible Informationen zu schützen. Das Europäische Parlament hat zugleich die Ansicht vertreten, »dass kein Datenschutz in Anspruch genommen werden sollte, wenn Personen z.B. in einer öffentlichen Funktion tätig sind, während sie an öffentlicher Beschlussfassung aufgrund ihrer eigenen Initiative beteiligt sind oder während sie versuchen, eine solche Beschlussfassung zu beeinflussen«. Des weiteren hat das Parlament in seiner Entschließung der (noch nicht installierten) Datenschutz-Kontrollstelle der Union vorgeschlagen, »Normen festzulegen, um den Missbrauch des Datenschutzes für Zwecke des unlauteren Wettbewerbs oder heimliche Beeinflussung regulatorischer und finanzieller Beschlüsse der Gemeinschaft zu verhindern«. Freundesgabe Büllesbach 2002 174 Dix Diese Entschließung unterstreicht den hohen Stellenwert, den das Parlament seit jeher dem Prinzip der Transparenz einräumt. Dennoch fällt auf, dass sich das Europäische Parlament nicht der pauschalen Auffassung des Bürgerbeauftragten anschließt, der Datenschutz müsse im Konfliktfall stets hinter dem Offenheitsgrundsatz zurücktreten. Die Stellungnahme des Parlaments deutet zwar auf ein zu restriktives Verständnis des Datenschutzes hin, der in seiner sekundärrechtlich präzisierten Form nicht auf den Schutz der Privat- oder gar Intimsphäre bzw. von sensiblen Daten beschränkt ist, sondern den Umgang mit personenbezogenen Daten aller Art regelt und für die Erhebung und Verwendung sensibler Daten zusätzlich besonders strikte Voraussetzungen formuliert (Art. 8 der Datenschutzrichtlinie). Den konkreten Vorrang der Informationszugangsrechte, den das Parlament bei Tätigkeiten in öffentlicher Funktion oder bei der Tätigkeit von Lobbyisten fordert, kann man aber ohne weiteres aus der EG-Datenschutz-Richtlinie selbst ableiten, die eine Verarbeitung (und damit auch Offenbarung) personenbezogener Daten dann zulässt, wenn sie erforderlich ist zur Wahrnehmung des berechtigten Interesses eines Dritten, dem die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen (Art. 7 f.). Eben hier ist aber die Einzelfallabwägung geboten, auf die die Art. 29 -Gruppe hingewiesen hat. Weder der Informationszugang noch der Datenschutz können per se einen wie auch immer begründeten Vorrang beanspruchen, wenn sie miteinander in Konflikt geraten. So schwierig dies in der Praxis für die Rechtsanwender sein mag, an einer einzelfallbezogenen Interessenabwägung führt kein Weg vorbei. Der Streit um den Informationsanspruch des britischen Bier-Importeurs ist übrigens noch immer nicht beigelegt, denn die Kommission beharrt auch nach der Entschließung des Europäischen Parlaments auf ihrem (rechtsirrigen) Standpunkt. Es ist also nicht auszuschließen, dass in absehbarer Zeit der Europäische Gerichtshof sich aus Anlass dieses Falles zu dem Verhältnis zwischen Informationsfreiheit und Datenschutz äußern wird. Nachdenklich muss allerdings stimmen, dass der Europäische Bürgerbeauftragte im Datenschutz, genauer: in einer »übereifrigen Interpretation von Datenschutzregeln« eine neue, prinzipielle Bedrohung des Informationszugangsrechts sieht, wie er vor kurzem bei einem Vortrag in Berlin betont hat (Söderman 2001). Bei dieser Gelegenheit sprach der Ombudsman unter Anspielung auf das Verbot mit Erlaubnisvorbehalt sogar von einem »fast totalitären Regelungsstil« des Datenschutzes, dem er den freiheitsorientierten Regelungsstil des Transparenzprinzips entgegenstellte. Am Grundmodell des Verbots mit Erlaubnisvorbehalt wird auch im Zuge der (noch ausstehenden) wirklichen Modernisierung des deutschen Datenschutzrechts Kritik geübt. Der Bewertung des Europäischen Bürgerbeauftragten liegt aber wohl ein grundsätzliches Missverständnis beider Grundrechte der entstehenden europäischen Informationsverfassung zugrunde: Sowohl der Datenschutz als auch das Informationszugangsrecht sind darauf angelegt, den Freiheitsraum der Unionsbürgerinnen und -bürger zu erweitern, nicht zu beschränken. Soweit es Freundesgabe Büllesbach 2002 Bedroht der Datenschutz die Informationsfreiheit? 175 zu Kollisionssituationen zwischen gegenläufigen Interessen unterschiedlicher Beteiligter kommt, muss es die Aufgabe der Rechtsanwender sein, zu einer praktischen Konkordanz beider Grundrechtsverbürgungen zu kommen. Das Beispiel illustriert neben dem materiellen Spannungsverhältnis zwischen Datenschutz- und Informationszugangsrechten auch eine wesentliche Schwäche der institutionellen Absicherung des Datenschutzes und der Informationsfreiheit auf europäischer Ebene deutlich: Während der Bürgerbeauftragte sich vorrangig für die Durchsetzung des größtmöglichen Zugangs zu Informationen einsetzt (ohne dass dies ausdrücklich vorgegeben wäre), wird der Europäische Datenschutzbeauftragte zukünftig die Aufgabe haben, den Schutz des Einzelnen bei der Verarbeitung seiner personenbezogenen Daten durch Unionsorgane sicherzustellen. Beide Beauftragten haben als »singleissue agencies« bestimmte Aufträge oder Prioritäten, die – insbesondere bei undifferenzierter Betrachtungsweise – miteinander kollidieren können. 3. Fazit Burkert (1992, 218) hat anhand der kanadischen Erfahrungen auf Bundesebene den Standpunkt vertreten, dass nur durch eine Trennung der für Datenschutz einerseits und Informationsfreiheit andererseits zuständigen Institutionen das nötige Vertrauen beim Bürger zu erzeugen geeignet sei. Er spricht in diesem Zusammenhang von einem notwendigen »symbolischen Profil«. Mittlerweile deuten die Erfahrungen in ausnahmslos allen kanadischen Provinzen, Ungarn, Großbritannien und in den deutschen Bundesländern Brandenburg, Berlin, Schleswig-Holstein und Nordrhein-Westfalen allerdings daraufhin, dass die Verknüpfung der Aufgaben der Beauftragten für den Datenschutz und für den Informationszugang sich durchweg bewährt hat. Inter-institutionelle Konflikte zwischen Informationszugangs- und Datenschutzbeauftragten, wie sie sowohl in Kanada auf Bundesebene als auch in Frankreich mehrfach für Schlagzeilen gesorgt haben, sind auf diese Weise vermieden worden. Es bleibt zu hoffen, dass sich auf europäischer Ebene derartige Konflikte zwischen dem Bürgerbeauftragten und dem Datenschutzbeauftragten künftig vermeiden lassen. Ausschließen lassen sie sich nur, wenn die Union die Funktion des Informationszugangsbeauftragten und des Datenschutzbeauftragten in einer Hand bündelt. Daneben sollte der Ombudsman weiterhin für die Behandlung von Bürgerbeschwerden gegen allgemeine Verwaltungsmissstände zuständig bleiben. Mindestens ebenso wichtig wie die institutionelle Verknüpfung der europäischen »Bürgerrechtsinstanzen« und die Schaffung eines Europäischen Beauftragten für Datenschutz und Informationsfreiheit ist allerdings eine bessere Verzahnung und letztlich Integration der materiellen Vorschriften des Datenschutz- und Informationszugangsrechts, wie sie international teilweise schon zu beobachten ist (z. B. die kanadische Provinz Québéc, Ungarn, der schweizerische Kanton Solothurn). Freundesgabe Büllesbach 2002 176 1 2 3 4 5 Dix »The shared purpose of data protection and freedom of information is to continue maintaining the non-transparency of citizens in a world that has undergone the information revolution while rendering (the state) transparent.« Ausgesprochen kompliziert sind demgegenüber die Konkurrenzvorschriften im Recht Großbritanniens (Data Protection Act bzw. Freedom of Information Act). Der gegenwärtige (erste) Bürgerbeauftragte (Jacob Söderman) ist Finne und kommt deshalb aus einem Mitgliedstaat, in dem Verwaltungstransparenz Tradition hat. Allerdings enthält ein Erwägungsgrund (Nr. 13) zur Transparenzverordnung Nr. 1049/2001 den Hinweis darauf, dass sich Betroffene, denen der Zugang zu Dokumenten verweigert wird, an den Bürgerbeauftragten wenden können. Alle abzurufen über die instruktive Website <http://www.euro-ombudsman.eu.int>. Literatur Angelov, Jean (2000): Grundlagen und Grenzen eines staatsbürgerlichen Informationszugangsanspruchs, Frankfurt/M. 2000. Burkert, Herbert (1992): Informationszugang und Datenschutz: ein kanadisches Beispiel, Baden-Baden 1992. Ders. (1999): Informationszugang und Datenschutz, in: Sokol (Hrsg.): Neue Instrumente im Datenschutz, Düsseldorf 1999, S. 88. Der Hessische Datenschutzbeauftragte (1986): 14. Tätigkeitsbericht, Wiesbaden 1986. Der Landesbeauftragte für den Datenschutz / Der Berliner Datenschutzbeauftragte (Hrsg) (1998): Dokumente zum Datenschutz 1998, S.7, Berlin 1998. Europäischer Bürgerbeauftragter (EU-Ombudsman 2000): Jahresbericht 2000, Straßburg 2001 (auch abrufbar unter http://www.euro-ombudsman.eu.int). Raab, Charles D. (2001) : Information Rights in Hungary – Observations on Experience. In: Office of the Parliamentary Commissioner for Data Protection and Freedom of Information, The Door Onto the Other Side, Budapest 2001, S. 195. Söderman, Jacob (2001): Transparency as a Fundamental Principle of the European Union, Vortrag am Walter Hallstein-Institut für Europäisches Verfassungsrecht der Humboldt-Universität zu Berlin am 19.6.2001 (http:// www.whi-berlin.de/soederman.htm besichtigt am 14.5.2002). Sokol, Bettina (1998): Datenschutz und Informationszugang, in: Bäumler, H. (Hrsg.): Der neue Datenschutz – Datenschutz in der Informationsgesellschaft von morgen, Neuwied 1998. Winterhager, Antonia (2002): Der Anwendungsbereich des Akteneinsichtsund Informationszugangsgesetzes des Landes Brandenburg, Frankfurt/M. 2002. Freundesgabe Büllesbach 2002 177 Gerald Spindler Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern – Persönliche Haftung von Datenschutzbeauftragten und Organmitgliedern 1. Einleitung Der Jubilar kann mit Fug und Recht als einer der Pioniere des deutschen Datenschutzrechts bezeichnet werden. Von Anbeginn begleitete Alfred Büllesbach das Werden in den siebziger Jahren und Reifen des deutschen und später des europäischen Datenschutzrechts. Als einer der wenigen Kenner dieser komplexen Materie hat er es stets verstanden, Wissenschaft mit Praxis in fruchtbarer Weise miteinander zu verbinden und neue Lösungswege aufzuzeigen. Daher hofft der Autor dieser Zeilen, dass der Jubilar einer Erörterung der persönlichen Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern besonderes Interesse entgegenbringen wird, war und ist Alfred Büllesbach doch seit langer Zeit der Konzerndatenschutzbeauftragte eines der größten Unternehmen der Welt. Die persönliche Verantwortlichkeit von Organmitgliedern und Beauftragten hat in der Vergangenheit in der wissenschaftlichen Diskussion erhebliche Aufmerksamkeit gefunden, ausgelöst durch spektakuläre Entscheidungen im Strafrecht (BGHSt 37, 106 – Lederspray) und Zivilrecht (BGHZ 109, 297 – Baustoff, bestätigt in BGH ZIP 1996, 786 – Lamborghini Nachbau). Wesentlich weniger Beachtung wurde dagegen den Beauftragten und ihrer Verantwortung gegenüber Dritten geschenkt (Auernhammer 1993, § 37 Rn. 6; Gola/ 1 Schomerus 1997, § 37 Rn. 2) . Erst recht gilt dies für den Datenschutz – obwohl dieser in Zeiten der Informationstechnologie zu einem der Schlüsselfaktoren für das Vertrauen der Bürger in die Wirtschaft geworden ist, sei es als betroffene Dritte oder als Konsumenten, die die Kontrolle über ihre »digitale Identität« bewahren wollen. Bezieht man die konzernrechtliche Dimension in die Betrachtung ein, fällt die Bilanz noch ernüchternder aus. Auch wenn auf den ersten Blick die persönliche Verantwortlichkeit der Organmitglieder und der Datenschutzbeauftragten im Gegensatz zu Unternehmen, die gefährliche Güter herstellen oder deren Produktion mit Gefahren für die Umwelt behaftet ist, keine praktische Relevanz aufweist, kann sich dies gerade im Hinblick auf die hohe Insolvenzgefährdung von Unternehmen der New Economy ändern. Denn je mehr der Handel mit Daten und Informationen zunimmt und die Werthaltigkeit ganzer Unternehmen sich zum größten Teil nach dem Bestand an Kundendaten beurteilt, kann die Einhaltung der Datenschutzvorschriften und der persönlichen Verantwortung an Bedeutung gewinnen. Denn das BDSG sieht in §§ 43, 44 BDSG eine mit Bußgeld und im Falle der geschäftlichen Ausnützung sogar mit Strafandrohung versehene Sanktionierung bei Verstößen gegen die datenschutzrechtlichen Vorschriften vor, insbesondere bei der unbefugten Erhebung von personenbezogenen Daten. Freundesgabe Büllesbach 2002 178 Spindler Ebenso gibt § 7 BDSG dem von einer unzulässigen Datenverarbeitung Betroffenen einen Schadensersatzanspruch, der bereits bei Fahrlässigkeit eingreift, verbunden mit einer Beweislastumkehr zugunsten des Geschädigten (näher dazu Duhr u.a. DuD 2002, 5). Man braucht nur an das in Marketingkreisen viel beschworene Datamining im Internet zu denken (zum Datamining s. Büllesbach CR 2000, 11) um sich die Dimensionen der potentiellen Verantwortlichkeit vor Augen zu halten. All dies ist Grund genug, sich der persönlichen Verantwortlichkeit der Organmitglieder und der Datenschutzbeauftragten genauer anzunehmen. In diesem Zusammenhang wird zunächst die Verantwortlichkeit von Organmitgliedern und Beauftragten im Unternehmen gegenüber ihrer Gesellschaft und gegenüber Dritten genauer untersucht (2.), um sodann die Konzerndimension einzubeziehen (3.). 2. Die Verantwortung für den Datenschutz im Unternehmen Mit der Verabschiedung des KonTraG im Aktienrecht und der Einführung des § 91 Abs. 2 AktG, der den Vorstand ausdrücklich zur Einrichtung eines Art Riskmanagements verpflichtet, ist die Frage in den Blickpunkt gerückt, ob Bestandteil eines solchen Riskmanagements nicht auch die Sicherstellung der Einhaltung aller gesetzlichen Pflichten des Unternehmens umfasst, häufig in Gestalt einer solchen Compliance-Organisation. Für das Kredit- und Versicherungsaufsichtsrecht waren entsprechende Forderungen der Aufsichtsämter gegenüber den Unternehmen und ihren Organen schon länger bekannt; die Insolvenzen Anfang der neunziger Jahre haben die Forderung nach einer entsprechenden Risikovorsorge und Compliance auf breiter Front wirksam werden lassen. Unstreitig haftet ein Unternehmen, gleich in welcher Rechtsform, für Verstöße gegen das Datenschutzrecht. Aus zivilrechtlicher Sicht greifen zugunsten der Betroffenen § 7 BDSG sowie § 823 Abs. 2 BGB ein, da die Datenschutzgesetze häufig als Schutzgesetze qualifiziert werden können (s. dazu Soergel – Zeuner § 823 Rn. 301), schließlich auch § 823 Abs. 1 BGB (s. dazu Münch/Komm – Schwerdtner § 12 Anh. Rn. 98 ff.), da der Datenschutz eine Ausprägung des allgemeinen Persönlichkeitsrechts ist. Schon aus diesem Grund ist das Unternehmen in der Regel mit Haftungsrisiken konfrontiert, ganz abgesehen von den öffentlich-rechtlichen Sanktionen, die in der Regel mit erheblichen Reputationsschäden für das Unternehmen verbunden sind. Freundesgabe Büllesbach 2002 Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern – 179 2.1 Die gesellschaftsinterne Verantwortlichkeit 2.1.1 Organmitglieder Vorstand Der Datenschutz ist unstreitig eine Aufgabe, welche die juristische Person Aktiengesellschaft erfüllen muss. Als allein vertretungsberechtigtes Organ ist der Vorstand im Rahmen seiner Pflichten nach § 93 AktG dafür verantwortlich, dass der Datenschutz im Unternehmen eingehalten wird. Verletzt er diese Pflichten und erleidet die AG hierdurch einen Schaden, kann die AG den Vorstand in Regress nehmen. Allerdings geht das aktienrechtliche Pflichtenprogramm selbstverständlich nicht so weit, von allen Vorstandsmitgliedern in gleicher Weise eine höchstpersönliche Erfüllung aller dem Vorstand obliegenden Aufgaben zu verlangen. Vielmehr hat der Vorstand als Gremium das Recht (und auch die Pflicht) zur Delegation der Aufgaben an hierfür besonders geeignete Vorstandsmitglieder, die etwa im Datenschutz besondere technische oder juristische Kenntnisse aufweisen. In diesem Fall reduzieren sich die Pflichten der anderen Vorstandsmitglieder nach ganz h.M. auf eine gelegentliche Überwachung des besonders für die Aufgabe Datenschutz zuständigen Vorstandskollegen. Allerdings erstarkt diese Pflicht bei besonderen Verdachtsmomenten auf Verstöße auch zu einer Pflicht zum Einschreiten. Von dieser unzweifelhaft zulässigen horizontalen Delegation ist die Frage zu trennen, ob der Vorstand den Datenschutz selbst als »Chefsache« übernehmen muss oder diese Aufgabe auch an die nächste Leitungsebene delegieren, sich mithin auf deren Überwachung beschränken kann. Anders gewendet geht es um die Delegationsfähigkeit der Aufgabe Datenschutz in vertikaler Hinsicht. Weder dem BDSG noch dem AktG lassen sich Hinweise entnehmen, welche Aufgaben im Hinblick auf den Datenschutz dem Vorstand zwingend zu verbleiben haben. Zwar mag man aus der vom BGH im Lederspray-Fall evozierten »Allzuständigkeit« der Geschäftsleitung (BGHSt 37, 106) ableiten, dass der Vorstand sich nicht vollständig einer Aufgabe entledigen kann; doch besagt dies nichts darüber, bis zu welchem Grad der Vorstand seine eigenständige Aufgabenwahrnehmung reduzieren kann bzw. inwieweit er sich auf eine gelegentliche Überwachung der ordnungsgemäßen Erfüllung der Aufgaben zurückziehen kann. Einigkeit dürfte jedenfalls darüber bestehen, dass der Vorstand weder vollständig alle das Unternehmen treffenden Aufgaben in eigener Person erfüllen muss, da sonst seine Arbeit de facto lahmgelegt wäre, noch dass er sich jeder Überwachung der delegierten Aufgaben entziehen kann (statt vieler Semler 1996, Rn. 22 ff.). Mehr als diese groben Eckpfeiler lassen sich indes kaum benennen; insbesondere können nicht irgendwie geartete Riskmanagementsysteme zum Maß aller Dinge erhoben werden, da bestimmte Managementoder Organisationssysteme stets den besonderen Bedingungen eines Unternehmens unterliegen (ausführlich Spindler 2001, S. 381 ff.). Daher kann Freundesgabe Büllesbach 2002 180 Spindler der Vorstand die Erfüllung der aus dem BDSG resultierenden Pflichten, insbesondere etwa § 9 BDSG, auf untere Leitungsebenen delegieren. Er ist auch nicht gehalten, alle Zuständigkeiten und Kompetenzen für den Datenschutz selbst festzulegen, sondern kann dies der nächsten Leitungsebene überlassen. Er muss sich allerdings durch stichprobenartige Kontrollen selbst davon überzeugen, dass die übertragenen Aufgaben auch tatsächlich ordnungsgemäß durchgeführt werden. Festzuhalten ist in diesem Zusammenhang, dass die Bestellung eines Datenschutzbeauftragten den Vorstand nicht etwa von seinen Pflichten entbindet. Denn der Datenschutzbeauftragte ist zwar ein besonderes Organ der Unternehmensverfassung (dazu Rehbinder ZGR 1989, 305; Rehbinder ZHR 2 165 (2001), 1) entlastet aber nicht andere Organe von deren Aufgaben. Vielmehr ist seine Stellung gerade im Hinblick auf seine Befugnisse zur Kontrolle und Beratung der entscheidungsbefugten Organe besonders ausgestaltet und geschützt, um eigenständig eine wirksame interne und unabhängige Überwachung zu gewährleisten. Aufsichtsrat Zwar trifft den Aufsichtsrat als Kontrollorgan selbstverständlich nicht die Pflicht, eigenständig für die Einhaltung der Datenschutzvorschriften zu sorgen; doch ist auch der Aufsichtsrat über §§ 93, 116 AktG gehalten, sich ein Bild von der Compliance-Organisation des Unternehmens und der Pflichtenerfüllung durch den Vorstand zu machen. Hierzu hat er sich regelmäßig Berichte nach § 90 AktG erstatten zu lassen und im Datenschutzbereich auch gelegentlich nachzufragen, insbesondere wenn dem Aufsichtsrat Verstöße gegen Datenschutzvorschriften bekannt werden. Bei besonders schwerwiegenden und gehäuft auftretenden Verstößen von Vorstandsmitgliedern kann der Aufsichtsrat unter Umständen sogar zur Abberufung eines Vorstands3 mitglieds gehalten sein. Darüber hinausgehende Pflichten treffen den Aufsichtsrat aber nicht: So besteht insbesondere kein Zwang, die Bestellung eines Datenschutzbeauftragten unter Zustimmungsvorbehalt nach § 111 Abs. 4 AktG zu stellen. 2.1.2 Datenschutzbeauftragter Wie bereits erwähnt, genießt der Datenschutzbeauftragte nach § 4 f. BDSG (= §§ 36, 37 BDSG a.F.) eine besondere organähnliche Stellung im Unternehmen (Gola/Schomerus 1997, § 36 Rn. 9.1 ff.; Büllesbach RDV 2001, 1), die hier nicht näher vertieft werden muss. Es genügt, auf seinen besonderen Schutz gegenüber arbeitsrechtlichen Maßnahmen hinzuweisen, vor allem seine Weisungsfreiheit in datenschutzrechtlichen Angelegenheiten (Auernhammer 1993, § 36 Rn. 27) und den besonderen Schutz vor Benachteiligungen nach § 4 f. Abs. 3 Satz 3 BDSG. Dementsprechend weist § 4 Abs. 3 Satz 1 BDSG dem Datenschutzbeauftragten eine Stellung direkt unterhalb der Geschäftsleitung Freundesgabe Büllesbach 2002 Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern – 181 zu, da der Berichtsweg ohne Umwege direkt zur Unternehmensleitung oder dem Inhaber der speichernden Stelle führen muss (Vgl. Gola RDV 2001, 264; Auernhammer 1993, § 36 Rn. 19; Müller/Wächter 1991, S. 45; Rudolf NZA 1996, 296).4 Andererseits darf wegen zu befürchtender Interessenkollisionen weder eine Personalunion mit der Geschäftsleitung (Gola/Schomerus 1997, § 36 Anm. 5.4.; Auernhammer 1993, § 36 Rn. 19; Wind 1994, S. 87; F. A. Koch 1997 Rn. 1256; Tinnefeld, CR 1991, 32) noch mit dem Leiter einer DV-Abteilung oder der Personalabteilung bestehen, um eine wirksame Kontrolle zu gewähr5 leisten. Die Stellung des Beauftragten ist zum einen durch Weisungsfreiheit gem. §4 f. Abs. 3 Satz 2 BDSG auf dem Gebiet des Datenschutzes bei Anwendung gekennzeichnet6, zum anderen durch fehlende zwingende Weisungsrechte gegenüber anderen Stellen.7 Die unternehmensintern abgesicherte Stellung des Datenschutzbeauftragten zeigt sich schließlich in dem ihm nach § 4 g Abs. 1 Satz 2 BDSG zustehenden Recht, bei fortgesetzten Verstößen des Unternehmens trotz Remonstrationen des Beauftragten sich direkt mit der Aufsichtsbehörde in Verbindung zu setzen (Einzelheiten bei Auernhammer 1993, § 37 Rn. 7 f.; Gola/Schomerus 1997, § 37 Anm. 3.1, 3.2.). Damit steht dem Beauftragten ein wesentlich druckvolleres, aber auch für das Organisationsgefüge des Unternehmens gefährlicheres Instrument zur Verfügung als in den meisten Beauftragtenvorschriften anderer Rechtsgebiete, die sich auf entsprechende interne Dokumentationen beschränken. Eine Verpflichtung zu entsprechender Unterrichtung der Exekutive, etwa wie für den versicherungsaufsichtsrechtlichen Aktuar, findet sich demgegenüber nicht. Die Aufgaben des Datenschutzbeauftragten beziehen sich wie bei anderen 8 Beauftragten nach § 4 g Abs. 1 Nr. 1 BDSG primär auf die Überwachung , 9 Beratung und Schulung (Zur Schulungsfunktion Auernhammer 1993, § 37 Rn. 13; Gola/Schomerus 1997, § 37 Anm. 5.; H. D. Koch 1992, S. 25 f.), darüber hinaus aber auch auf die beratende Mitwirkung bei der Auswahl von Personen für den Datenverarbeitungsbereich10 und die Umsetzung des Datenschutzes im Unternehmen, indem er Verfahren und Richtlinien für den Datenschutz entwirft und nach Einführung durch die Geschäftsleitung überwacht.11 Insbesondere die Umsetzung des Anforderungskatalogs nach § 9 BDSG, und damit auch der Organisationskontrolle, wird als eine Schwerpunktaufgabe des Beauftragten betrachtet (Breinlinger RDV 1995, 7; Auernhammer 1993, § 37 Rn. 15.; H. D. Koch 1992, S. 24; F. A. Koch 1997 Rn. 1317). Wenig beleuchtet ist allerdings seine haftungsrechtliche Situation innerhalb des Unternehmens (Gola/Schomerus 1997, § 37 Rn. 2): Seine Weisungsfreiheit und der Schutz vor Benachteiligungen spricht auf den ersten Blick dafür, dass er auch vor einer auf seinem Arbeitsvertrag beruhenden Inanspruchnahme sicher sein muss, da sonst allzu leicht das scharfe Schwert der Haftung seine 12 vom Gesetz gewollte Unabhängigkeit bedrohen könnte. Eine besondere Haftungsgrundlage, die auf seiner organähnlichen Stellung fußen würde, sieht das BDSG gerade nicht vor. Andererseits muss die Aktiengesellschaft eine Regressmöglichkeit haben, da sonst auch ein ungeeigneter DatenschutzbeaufFreundesgabe Büllesbach 2002 182 Spindler tragter außer der Gefahr der Abberufung durch die Datenschutzaufsichtsbehörde kaum Sanktionen zu gegenwärtigen hätte. Die Lösung ist in der Koppelung der Haftung mit der Möglichkeit zum Widerruf der Bestellung nach § 4 f. Abs. 3 Satz 4 BDSG zu suchen: Sofern ein triftiger Grund in entsprechender Anwendung des § 626 BGB zur Abberufung des Beauftragten vorliegt, ist auch die haftungsrechtliche Inanspruchnahme des Beauftragten aufgrund der Schlechterfüllung seines Arbeitsvertrages gerechtfertigt. Bei sonstigen leichten Pflichtverletzungen, die für sich genommen noch nicht als wichtiger Grund zum Widerruf der Bestellung gelten können, scheidet dagegen eine Haftung aus. 2.2 Die Verantwortlichkeit gegenüber Dritten Besondere Probleme wirft die Haftung gegenüber Dritten und die strafrechtliche Verantwortlichkeit auf; denn im Grundsatz nehmen sowohl Organmitglieder als auch Datenschutzbeauftragte nur Pflichten der juristischen Person wahr. Ihre Rechte und Pflichten wirken im Prinzip nur gesellschaftsintern. 13 Dennoch hat die Rechtsprechung – wie erwähnt – aus der Organstellung Pflichten gegenüber Dritten abgeleitet, die sowohl die zivil- als auch die strafrechtliche Verantwortlichkeit begründen können. 2.2.1 Organmitglieder Nach Auffassung sowohl des 2. Strafsenats als auch des VI. Zivilsenats fließt aus der Allzuständigkeit der Vorstandsmitglieder und der oben beschriebe14 nen Pflicht zur Wahrnehmung der der AG obliegenden gesetzlichen Aufgaben auch die Pflicht zur ordnungsgemäßen Organisation des Unternehmens im Hinblick auf den Schutz Dritter. So hat der VI. Zivilsenat einen Geschäftsführer für die Verletzung eines Eigentumsvorbehaltes durch Mitarbei15 ter seines Unternehmens zum Schadensersatz verurteilt, der 2. Strafsenat die Mitglieder der Geschäftsleitung eines Lederspray-Herstellers für die Körperverletzung von Konsumenten durch gefährliche Produkte des Unterneh16 mens, die nicht von der Geschäftsleitung zurückgerufen wurden. Verallgemeinert würden daher alle gesellschaftsrechtlich entwickelten Pflichten gleichzeitig die Verantwortlichkeit nach außen begründen. Auch für das Datenschutzrecht wäre das Vorstandsmitglied für jeden Verstoß im Unternehmen potenziell haft- oder strafbar. Eine derartige Ausdehnung der Haftung ist jedoch weder zivil- noch strafrechtlich zwingend: Denn der Vorstand muss notwendigerweise für die AG handeln, obwohl die Pflichten nicht ihm höchstpersönlich auferlegt worden sind, sondern der juristischen Person. Ein besonderes Vertrauen des Rechtsverkehrs ausgerechnet in die Tätigkeit des Vorstandes, das eine Verkehrssicherungspflicht oder eine Garantenstellung per se rechtfertigen könnte, wird Freundesgabe Büllesbach 2002 Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern – 183 nicht begründet. Auch die Tatsache, dass jede Organisation aufgrund der nötigen internen Abstimmung das Risiko einer Verletzung von Vorschriften erhöht, kann für sich allein genommen noch keine Garantenstellung begründen; denn die Organisation selbst ist nicht die Gefahrenquelle, sie verstärkt nur ein schon vorhandenes Risiko (Spindler 2001, S. 760 ff.). Entscheidend ist letztlich, dass das Organmitglied lediglich intern Pflichten für die juristische Person wahrnimmt. Jedenfalls für fahrlässige Organisationspflichtverletzungen wird man daher nicht von einer persönlichen Verantwortlichkeit des Organmitglieds ausgehen können (ebenso Kleindiek 1997, S. 368 ff.). Die strafrechtliche Seite ist aus Sicht der datenschutzrechtlichen Sanktionen des §§ 43, 44 BDSG jedoch anders zu beurteilen: So führt hinsichtlich der in § 43 BDSG aufgeführten Ordnungswidrigkeiten kein Weg daran vorbei, den Vorstand selbst zur Verantwortung zu ziehen, da er nach § 130 iVm § 9 Abs. 1 OWiG aufsichtspflichtig ist und schon bei fahrlässiger Verletzung dieser Pflicht zur Rechenschaft gezogen werden kann. Für die strafrechtlichen Sanktionen des § 44 BDSG kommt zwar nur Vorsatz als Begehungsform in Betracht, so dass etwa eine Bestrafung wegen fahrlässiger Aufsichtspflichtverletzung strafrechtlich ausscheidet. Wohl aber kann das Vorstandsmitglied wegen vorsätzlich unterlassenen Einschreitens gegen datenschutzrechtliche Verstöße von Mitarbeitern im Unternehmen verantwortlich gemacht werden. Aus zivilrechtlicher Sicht spräche zwar selbst in diesem Fall viel dafür, allein die juristische Person haften zu lassen, da der Vorstand seine Pflichten nicht im Interesse Dritter wahrnimmt – ohne dass nach der Schuldform differenziert werden könnte (näher dazu Spindler 2001, S. 848; anders etwa Lutter ZHR 1993, 464, der nach Schuldformen differenziert). Auch ein Bedürfnis zur Anerkennung als Schutzgesetz im Sinne von § 823 Abs. 2 BGB könnte mit Fug und Recht angesichts der Konzentration der Haftung auf die juristische Person verneint werden (s. etwa BGHZ 125, 366 zu § 130 OWiG). Aus strafrechtlicher Sicht ist indes einzuräumen, dass aufgrund von § 14 StGB und der im deutschen Recht fehlenden Strafbarkeit des Unternehmens selbst eine Rückverlagerung der Verantwortlichkeit auf das Organmitglied stattfindet. 2.2.2 Datenschutzbeauftragter Nach § 4 g Abs. 1 Nr. 1 BDSG trifft den Datenschutzbeauftragten in erster Linie die Pflicht zur Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen. Daher scheint es auf der Hand zu liegen, dass er auch für entsprechende Verstöße im Unternehmen gegenüber Dritten einstehen muss (so Helfrich CR 1992, 456 und Greve 1988, S. 169). Da dem Datenschutzbeauftragten jedoch eigene Entscheidungs- und Weisungskompetenzen fehlen, um in innerbetriebliche Schadensverläufe eingreifen zu können, lehnt die h. M. eine Garantenpflicht des Beauftragten zur Gefahrenvermeidung ab (für den Datenschutzbeauftragten ebenso Auernhammer 1993, § 8 Rn. 5, § 37 Rn. 5 f.; F. A. Koch 1997 Rn. 1324; allgemein Rehbinder ZHR 165 Freundesgabe Büllesbach 2002 184 Spindler (2001), 1). Nur wenn ihm Befugnisse gegenüber Betriebsangehörigen eingeräumt werden, kommt überhaupt eine Garantenstellung des Beauftragten und die Begründung von Sicherheitserwartungen Dritter durch seine Kompetenzen in Betracht (s. auch Salje BB 1993, 2297). Mit ähnlicher Begründung wird überwiegend auch die Schutzgesetzqualität der Beauftragtenvorschriften abgelehnt. Denn der Beauftragte trage nur intern die Verantwortlichkeit gegenüber dem Unternehmer und könne selber keine Maßnahmen durchführen oder veranlassen (Auernhammer 1993, § 8 Rn. 5, § 37 Rn. 5 f.; aA Helfrich CR 1992, 456). Der zutreffende Hinweis auf die mangelnde Entscheidungsbefugnis und damit die fehlende Gefahrsteuerungsmöglichkeit des Beauftragten kann für sich allein jedoch nicht die haftungsrechtliche Irrelevanz der öffentlich-rechtlichen Aufgabenzuweisungen an den Beauftragten begründen. So greift aus strafrechtlicher Sicht bereits eine Ausnahme für den Fall ein, wenn der Beauftragte seine Warnpflicht gegenüber der Geschäftsleitung nicht erfüllt und dadurch die Straftat eines anderen nicht verhindert werden konnte, da er insoweit als Überwachungsgarant und Teilnehmer an der Haupttat qualifiziert 17 wird. Die öffentlich-rechtliche Ausformung der rechtlichen Stellung des Beauftragten flankiert durch Benachteiligungsverbote und Gebote der organisatorischen Ansiedlung belegt die Bedeutung, die der Gesetzgeber der Überwachungs- und Beratungsfunktion des Beauftragten zur Stärkung der Eigenüberwachung der Unternehmen beigemessen hat. Legt man daher den Schwerpunkt auf die Überwachungs- und Warnpflicht des Beauftragten statt auf seine Kompetenzen, kommt eine persönliche deliktische Haftung des Beauftragten durchaus in Betracht, wenn der Schaden im Falle der rechtzeitigen 18 Warnung abgewandt worden wäre. Entscheidend ist aber, ob die Überwachungs- und Warnpflichten des Beauftragten auch im Interesse Dritter eingeführt wurden. Dafür spräche jedenfalls die von der zivilrechtlichen Rechtsprechung früher für das Kreditaufsichtsrecht angenommene drittschützende Wirkung von Überwachungspflichten der Behörde (BGHZ 74, 144 – Wetterstein; bekräftigt in BGHZ 75, 120 – Herstatt), so dass auch der Beauftragte als Überwachungsorgan dem Schutz Dritter dienen könnte. Andererseits beschränkt sich die Überwachungsfunktion des Beauftragten auf eine rein unternehmens- und betriebsintern wirkende Stärkung der Eigenüberwachung; der Beauftragte wird nicht für die Behörde als deren verlängerter Arm zur Überwachung tätig. Da bereits die Behörde nicht den Beauftragten direkt zur Überwachung oder Berichterstattung heranziehen kann, können die Überwachungspflichten des Beauftragten erst recht 19 nicht dem Schutz Dritter dienen. Freundesgabe Büllesbach 2002 Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern – 185 3. Die Verantwortung für den Datenschutz im Konzern 3.1 Der Konzernvorstand Die persönliche Verantwortlichkeit der Organmitglieder im Konzern ist ein generell bislang wenig beackertes Feld, erst recht im Hinblick auf die Einhaltung datenschutzrechtlicher Pflichten. Die nachfolgenden Ausführungen können daher nur als ein erstes Herantasten an die spezifisch datenschutzrechtliche Lage verstanden werden, die noch der weiteren Vertiefung bedürfen. Kaum noch umstritten dürfte indes inzwischen die Anwendung des BDSG auf konzerninterne Datenflüsse sein; das BDSG betrachtet hier die Konzernunternehmen nicht etwa als Einheit, sondern wie sich fremd gegenüberstehende Dritte (grundlegend Müller/Wächter 1991, S. 11). 3.1.1 Die konzerninterne Haftung Ausgangspunkt muss das auch durch das Konzernrecht nicht durchbrochene Trennungsprinzip sein. Dem gemäß kann das Organmitglied der Konzernspitze für Verletzungen der datenschutzrechtlichen Vorschriften im Konzern zunächst nur der eigenen Konzernobergesellschaft nach § 93 AktG einstehen, sofern aus den Verletzungen ein Schaden der Konzernobergesellschaft entstanden ist. Zwar gehört die Konzernleitungspflicht zu den Pflichten des Vorstandes der Obergesellschaft, jedoch nur im Verhältnis zur Konzernobergesellschaft (s. Hommelhoff 1982, S. 77; Hüffer 2002, § 76 Rn. 17a; anders Schneider BB 1981, 249, der auch im Verhältnis zu den abhängigen Konzernunternehmen eine Pflicht zu ordnungsgemäßer Konzernleitung annehmen will). Dieses Prinzip wird jedoch durchbrochen, wenn der Tochtergesellschaft durch entsprechende Weisungen oder Einflussnahmen durch den Vorstand der Konzernmuttergesellschaft Schäden bzw. Nachteile entstanden sind. In diesem Fall kann auch das Organmitglied selbst nach § 309 Abs. 2 AktG im Vertragskonzern und nach § 317 Abs. 3 AktG im faktischen Konzern der Tochtergesellschaft gegenüber haften. Dies gilt erst recht, wenn es sich um eine unzulässige Weitergabe von Daten im Konzern handelt, die auf eine Veranlassung durch die Konzernmutter und deren Vorstand zurückzuführen ist. Davon zu unterscheiden ist die Verantwortlichkeit für Verletzungen innerhalb der Tochtergesellschaft aufgrund mangelnder Konzernorganisation bzw. Organisation innerhalb der Tochter selbst: Hier ist allein das Organ der Tochtergesellschaft dieser gegenüber verantwortlich, sofern die mangelhafte Organisation nicht auf eine Einflussnahme durch die Muttergesellschaft zurückzuführen ist. Bislang noch nicht ausgelotet ist in diesem Zusammenhang die allgemeine Frage, ob schon die unzureichende Finanzausstattung der Tochtergesellschaft als nachteilige Einflussnahme gelten kann, die etwa aufgrund der dadurch eintretenden Personalknappheit einen genügenden Datenschutz in Frage stellen kann. Freundesgabe Büllesbach 2002 186 Spindler Im Fall der Personalunion zwischen Vorstand der Konzernmutter und Vorstand der Tochtergesellschaft ist das Organmitglied der Tochtergesellschaft selbstverständlich dieser gegenüber nach § 93 AktG für Verstöße im Unternehmen der Tochtergesellschaft selbst haftbar; die Doppelrolle ändert nichts an der Verantwortlichkeit. Im GmbH-Konzern fehlt es bislang an Vorschriften, die dem Aktienrecht vergleichbar wären. Im Grundsatz geht die h.M. trotz vielfältiger Nuancen nach wie vor von entsprechenden Analogien zum Aktienrecht oder zumindest von entsprechenden Wertungen im Rahmen von Treuepflichtenkonzepten aus. Während § 309 AktG nach ganz h.M. entsprechend auf die GmbH anwendbar ist (MünchKommAktG-Altmeppen, § 309 Rn. 11 mwN.), kann der herrschende Gesellschafter im faktischen GmbH-Konzern einem Anspruch der Tochtergesellschaft aus Verletzung der Treuepflicht zu »seiner« GmbH ausgesetzt sein, wenn er die berechtigten Eigeninteressen der GmbH nicht respektiert (BGH NJW 2001, 3622 – Bremer Vulkan). Die Frage, ob im faktischen GmbH-Konzern auch die Organmitglieder des herrschenden Gesellschafters einem entsprechenden Anspruch zu unterwerfen sind, wie im Aktienrecht nach § 317 Abs. 3 AktG, ist bislang allerdings völlig ungewiss. Nach der hier vertretenen Auffassung ist das Handeln der Organe allein nach § 31 BGB der Konzernmuttergesellschaft zuzurechnen, mit der Folge, dass sich die Vorschrift des § 317 AktG als Ausnahmetatbestand darstellt, der nicht extensiv auf Treuepflichtverletzungen im Rahmen eines GmbH-Konzerns angewandt werden kann (anders MünchKommAktG-Kropff, Vor § 311 Rn. 96 ff.; Kropff, FS Semler 1993, 517). 3.1.2 Die Haftung gegenüber Dritten Hinsichtlich der Haftung gegenüber Dritten ist zunächst zu klären, wer überhaupt Anspruchsgegner des von der unzulässigen Datenverarbeitung Geschädigten sein kann. Zwar geht die Datenverarbeitung in den hier zu besprechenden Fällen auf eine Einflussnahme der Konzernspitze zurück; doch bleibt im Außenverhältnis die die Datenverarbeitung oder -übermittlung durchführende »verantwortliche« Stelle allein die Tochtergesellschaft. Die Tatsache der Einflussnahme wird nur im Rahmen der gesellschaftsrechtlichen Haftung der Konzernspitze berücksichtigt, außer wenn in Ausnahmefällen die Tochtergesellschaft derart intensiv beherrscht wird, dass die Tätigkeit der Tochtergesellschaft unmittelbar der Konzernmuttergesellschaft zugerechnet werden muss. Haftet schon die Konzernspitze nicht unmittelbar gegenüber geschädigten Dritten, sondern nur über den »Umweg« der Ansprüche der Tochtergesellschaft aus Konzernrecht, gilt dies erst recht für die Haftung aus Verletzung von Konzernleitungs- und -organisationspflichten. Diese obliegen dem Vorstand allein im Innenverhältnis zur Konzernspitze, nicht aber gegenüber Dritten. Entsprechenden Versuchen, diese Pflichten auch im Verhältnis zu Dritten zur Freundesgabe Büllesbach 2002 Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern – 187 Haftungsbegründung heranzuziehen (für das Zivilrecht Hommelhoff ZIP 1990, 761; Oehler ZIP 1990, 1445; für das Strafrecht Ransiek ZGR 1999, 613), ist sowohl für das Zivil- als auch das Strafrecht eine Absage zu erteilen (ausführlich Spindler 2001, S. 877). 3.2 Der Konzerndatenschutzbeauftragte 3.2.1 Bestellung Die Bestellung eines Konzerndatenschutzbeauftragten ist häufig anzutreffen – auch der Jubilar füllt diese Funktion aus. Ein Datenschutzbeauftragter für den gesamten Konzern, der sich auch um die Datenschutzbelange in den Tochtergesellschaften kümmert, erscheint auf den ersten Blick hin sinnvoll und – sofern der Beauftragte nicht zu stark belastet wird und nicht in Interes20 senkonflikte gerät – zulässig. Allerdings bestehen durchaus berechtigte Bedenken gegen einen Gesamtbeauftragten für den Konzern, da der Datenschutzbeauftragte vor allem aus Sicht des jeweiligen Unternehmens die Informationsflüsse zwischen den Konzerngesellschaften überprüfen soll, während ein Konzerndatenschutzbeauftragter notwendigerweise Interessen der gesamten Unternehmensgruppe berücksichtigen wird (H. D. Koch 1992, S. 15). Anders als etwa in § 5 der 5. BImSchV sieht das BDSG keine besondere Befugnis zur Bestellung eines solchen Konzernbeauftragten vor. 3.2.2 Konzerninterne Haftung Hält man einen solchen konzernweit tätigen Datenschutzbeauftragten für möglich, gelten hinsichtlich seiner internen Haftung die für den Datenschutzbeauftragten eines Unternehmens getroffenen Aussagen mutatis mutandis: Abgesehen von gewichtigen Pflichtverletzungen, die auch als wichtiger Grund nach § 626 BGB iVm § 4 f. Abs. 3 BDSG zum Widerruf der Bestellung berechtigen würden, kann der Konzerndatenschutzbeauftragte nicht in die Pflicht für Datenschutzverstöße im Konzern genommen werden. Dies gilt erst recht für Verstöße in Tochtergesellschaften, zu denen der Konzerndatenschutzbeauftragte in keinerlei Vertragsverhältnis steht. Allenfalls könnte hier an die Anwendung der Grundsätze des Vertrages mit Schutzwirkung zugunsten Dritter gedacht werden, wenn der Konzerndatenschutzbeauftragte auch die Überwachung in diesen Unternehmen übernehmen soll. In diesen Fällen wird aber oft auch schon eine Bestellung durch die Tochterunternehmen selbst und damit ein Vertragsverhältnis (zumindest ein Auftragsverhältnis) vorliegen, aus dem Ansprüche resultieren können. Freundesgabe Büllesbach 2002 188 Spindler 3.2.3 Haftung gegenüber Dritten Dritten gegenüber haftet der Konzerndatenschutzbeauftragte ebensowenig wie der »normale« Datenschutzbeauftragte. Da es an einer rechtlichen Einheit »Konzern« fehlt – erst recht im BDSG, das keine konzernweite Zurechnung kennt – kann der Konzerndatenschutzbeauftragte auch keine konzernweite Organfunktionen übernehmen. Zudem nimmt er seine Überwachungspflicht nur im Sinne eines »internen Gewissens« wahr, ohne dass damit aber eine Garantenstellung gegenüber Dritten begründet würde (s. oben 2.2.2). 4. Schluss Die Tour d’horizon hat ein differenziertes Bild der persönlichen Verantwortlichkeit von Organmitgliedern und Datenschutzbeauftragten ergeben, das selbstverständlich durch die vielschichtige zivil- und strafrechtliche Diskussion um die persönliche Haftung von Organmitgliedern geprägt ist. Als Grundregel sollte der eigentliche Pflichtenträger – die juristische Person – zur Rechenschaft gezogen werden, nicht das für sie notwendigerweise handelnde Organ. Allein in bestimmten Ausnahmefällen im Strafrecht, insbesondere bei vorsätzlichem »Wegschauen«, kommt mangels Unternehmensstrafbarkeit eine persönliche Verantwortlichkeit in Betracht. Für den Datenschutzbeauftragten gilt dies in noch stärkerem Maße, wird er doch nur als internes Gewissen für den Datenschutz tätig, nicht aber im Interesse Dritter. Im Konzern kompliziert sich die Rechtslage weiter, da hier zwischen den verschiedenen Arten der Einflussnahme und der Konzernierung differenziert werden muss. Im Grundsatz greift aber auch hier das Trennungsprinzip ein, indem Ansprüche bei der Tochtergesellschaft gegen die Muttergesellschaft angesiedelt werden – nicht aber gegen die Organmitglieder persönlich, auch nicht im Verhältnis zu geschädigten Dritten. Der Konzerndatenschutzbeauftragte – sofern man ihn für zulässig erachtet – scheidet dagegen gänzlich aus der Haftung gegenüber Dritten aus. 1 2 3 4 Die beiden Kommentierungen handeln die Haftung in wenigen Zeilen ab. Zur Personalunion mit dem Vorstand sogleich unter 2.1.2. Hier können entsprechend die vom BGH zum Regress gegen ein Vorstandsmitglied entwickelten Kriterien der ARAG/Garmenbeck-Entscheidung herangezogen werden, s. dazu BGHZ 135, 244; s. auch Hüffer 2002, § 111 Rn. 4a f. Da vertraglich die Wahrnehmung von bestimmten Aufgaben auch bei juristischen Personen an zuverlässige Mitarbeiter geknüpft und Berichts- und Überwachungswege auch für Externe entsprechend den datenschutzrechtlichen Anforderungen ausgestaltet werden können, ist auch die Bestellung einer juristischen Person als Datenschutzbeauftragter zulässig, vgl. R.Weber 1988, S. 58 ff. mwN. Anders wegen der auf natürliche Personen zugeschnittenen Anforderungen an Fachkunde und Zuverlässigkeit sowie wegen der Unterstellung unter die Geschäftsleitung Auernhammer 1993, § 36 Rn. 21, der jedoch die Entsendung eines Beauftragten durch eine Unternehmensberatungsgesellschaft für zulässig hält; ähnlich Rudolf NZA 1996, 296 ; H. D. Koch 1992, S. 20; F. A. Koch 1997, Rn. 1246. Freundesgabe Büllesbach 2002 Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern – 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 189 So Teil B Ziff. 9.3. der Richtlinien, aaO; Hinweis der Aufsichtsbehörde Baden-Württemberg zum BDSG Nr. 2, StAnZ 1978, Nr. 26, S. 6; s. auch BAG DB 1994, 1678 für einen Mitarbeiter der DVAbteilung; Auernhammer 1993, § 36 Rn. 24; Gola/Schomerus 1997, § 36 Anm. 5.4.; Wind 1994, S. 87; Tinnefeld CR 1991, 32; Schierbaum CR 1992, 730; Breinlinger RDV 1993, 55; Rudolf NZA 1996, 296 ; H. D. Koch 1992, S. 44 f; aA F. A. Koch 1997, Rn. 1287. Umstritten ist dagegen die Ansiedlung des Beauftragten im Rahmen der inneren Revision. Denn zumindest mit der Leitung der inneren Revision soll die Stellung als Datenschutzbeauftragter unvereinbar sein, um die gegenseitige Kontrolle zu erhalten (so Auernhammer 1993, § 36 Rn. 24; H. D. Koch 1992, S. 44 f; anders Gola/Schomerus 1997, § 36 Anm. 5.4; Müller/Wächter 1991, S. 45.). Ein solches System von Checks and Balances wird aber vom BDSG nicht gefordert. Die Übertragung von Aufgaben der DV-Abteilung im Bereich der Überwachung, insbesondere der gesamten Datenund Systemsicherheit einschließlich der Programmprüfung und -abnahme sowie Datenbankund Dateikoordinierung wird dagegen ebenso wie die Personalunion mit dem Leiter der Rechtsabteilung als unbedenklich qualifiziert (vgl. Auernhammer 1993, § 36 Rn. 24; Gola/ Schomerus 1997, § 36 Anm. 5.4.). Nicht jedoch hinsichtlich der ordnungsgemäßen Ausfüllung ihrer Aufgabe, vgl. Auernhammer 1993, § 36 Rn. 27 f; Gola/Schomerus 1997, § 36 Anm. 9.3.; Müller/Wächter, 1991, S. 43. Vgl. Gola/Schomerus 1997, § 36 Anm. 9.3.; Auernhammer 1993, § 37 Rn. 3; Müller/Wächter 1991, S. 44. Nur sofern der Beauftragte die Unterstützung von Fachabteilungen, z. B. der inneren Revision oder der Rechtsabteilung, benötigt oder zur Erledigung seiner Tätigkeit Auskünfte einholen oder Räume betreten muss, sind Weisungsrechte erforderlich, vgl. Auernhammer 1993, § 36 Rn. 34, § 37 BDSG Rn. 3; H. D. Koch 1992, S.55 f. Hinsichtlich der Überwachung könne er sich auf schwerpunktartige Überprüfungen beschränken, sofern organisatorisch die Programmanwendungsüberwachung und ihre Dokumentation sichergestellt sei, vgl. Auernhammer 1993, § 37 Rn. 10 f.; Gola/Schomerus 1997, § 37 Anm. 4.2.; Müller/Wächter 1991, S. 50; H. D. Koch 1992, S. 23 f. Beratung bei der Erstellung von Programmanwendungen und deren Durchführung sowie Beratung der Programmbenutzer und der von der Datenverarbeitung Betroffenen, Einzelheiten bei Müller/Wächter 1991, S. 43 ff. Dem Beauftragten soll jedoch ein weiter Ermessensspielraum zur Ausgestaltung der Mitwirkungsfunktion bei der Personalauswahl zukommen, vgl. Gola/Schomerus 1997, § 37 Anm. 6. Vgl. Müller/Wächter 1991, S. 44 ; Einzelheiten in der Richtlinie, aaO, Teil C III. Abschnitt, die aber auch in Ziff.1 für nicht automatisierte Verfahren betont, dass sich hier noch weniger Aussagen über Art und Umfang der zu treffenden Datensicherungsmaßnahmen treffen ließen. Die aufgezählten Maßnahmen seien daher nur als Orientierungshilfe zu verstehen, nicht als abschließende Aufzählung oder Mindestkatalog. Anders offenbar Heilmann/Taeger 1997, S. 30 f., die die üblichen arbeitsrechtlichen Kriterien anwenden wollen. BGH BGHSt 37, 106 – Lederspray und BGHZ 109, 297 – Baustoff, BGH ZIP 1996, 786 – Lamborghini Nachbau. Oben 2.1.1. S. und BGHZ 109, 297 – Baustoff, BGH ZIP 1996, 786 – Lamborghini Nachbau. S. BGH BGHSt 37, 106 – Lederspray. So für den Gewässerschutzbeauftragten OLG Frankfurt NJW 1987, 2753; Kuhlen, in: Amelung (Hrsg.) 2000, S. 71; Thamm DB 1994, 1021; Feldhaus, in: Feldhaus 2002, § 54 Rn. 63; Kloepfer 1998, § 7 Rn. 26; Dannecker/Streinz, in: Rengeling (Hrsg.) 1998, § 8 Rn. 42; ebenso bereits Arndt 1985, S. 169 ff ; Strate/Wohlers, in: Ewer u. a. 1998, M Rn. 32; zust. aus zivilrechtlicher Sicht Salje BB 1993, 2297. So für den Datenschutzbeauftragten Simitis, in: Simitis u. a. 1992, § 29 (a. F.) Rn. 63; Gola/ Schomerus 1997, § 37 Anm. 2.1., 2.2., die darauf verweisen, dass der Beauftragte grundsätzlich haftbar sein könne, allerdings sehr sorgfältig zu prüfen sei, ob der Schaden durch ihn aufgrund seiner Rechtsstellung hätte vermieden werden können; ebenso Heilmann/Taeger 1997, S. 33 f.; Wind RDV 1991, 16. Dies wird von Möllers 1996, S. 234, Salje 1998, 1 und Heilmann/Taeger 1997, S. 33 übersehen. Auernhammer 1993, § 36 Rn. 25 unter Verweis auf § 3 der 5. BImSchV; Rudolf NZA 1996, 296 ; nach den Richtlinien, aaO, kann gem. Teil B Ziff. 9.4. auch ein Datenschutzbeauftragter für den Konzern bestellt werden, sofern er von jeder Gesellschaft selbst bestellt wird und sichergestellt ist, dass er für jede Gesellschaft seine Aufgabe ordnungsgemäß erfüllen kann; offen Gola/Schomerus 1997, § 36 Anm. 3.1. f. Freundesgabe Büllesbach 2002 190 Spindler Literatur Arndt, V. (1985): Der Betriebsbeauftragte im Umweltrecht, jur. Diss., Kiel 1985. Auernhammer, H. (1993): Bundesdatenschutzgesetz, 3. Auflage, Köln 1993. Büllesbach, A. (2000): Datenschutz bei Data Warehouse und Data Mining CR 2000, 11. Büllesbach, A. (2001): Ders., Konzeptionen und Funktion des vor dem Hintergrund der EG- Richtlinie und der Novelierung des BDSG RDV 2001, 1. Breinlinger, Astrid (1993): Anforderungen des Bundesdatenschutzgesetzes an den betrieblichen Datenschutzbeauftragten, RDV 1993, 53. Breinlinger, Astrid (1995): Die Kontrolle des Datenschutzbeauftragten aus Sicht der Aufsichtsbehörden, RDV 1995, 7. Dannecker, G. / Streinz, R. (1998): Umweltpolitik und Umweltrecht: Strafrecht, in: Rengeling, Hans Werner (Hrsg.) Handbuch Umweltrecht, Bd. 1 Allgemeines Umweltrecht, Köln u. a. 1998. Duhr, E. / Naujok, H. / Peter, M. / Seiffert, E. (2002): Neues Datenschutzrecht für die Wirtschaft DuD 2002, 5. Feldhaus, G. (2002): Bundesimmisionsschutzrecht Bd. 1 Teil 2 (§§ 22 – 74 BimschG), Losebl, Heidelberg, Stand April 2002. Gola, P. Schomerus, R. (1997): Bundesdatenschutzgesetz, 6. Auflage, München 1997. Gola, P. (2001): Die Umsetzung der gesetzlichen Vorgaben zur Eingliederung des betrieblichen Datenschutzbeauftragten in die Unternehmensorganisation, RDV 2001, S. 263. Greve, K. (1998): Haftung für Datenverarbeitung, Frankfurt a.M. 1988. Helfrich, M. (1992): Haftung des betrieblichen Datenschutzbeauftragten, CR 1992, 456. Heilmann, J./Taeger, J. (1997): Rechtsstellung und Haftung der Betriebsbeauftragten, Oldenburg 1997. Hommelhoff, P. (1982): Die Konzernleitungspflicht, Köln 1982. Hüffer, U. (2002): Aktiengesetz, 5. Auflage, München 2002. Kleindiek, D. (1997): Deliktshaftung und juristische Person, Tübingen 1997. Kloepfer, M. (1998): Umweltrecht, 2. Auflage, München 1998. Koch, H.-D. (1995): Der betriebliche Datenschutzbeauftragte, 4. Auflage, Köln 1995. Koch, F. A. (1997): Datenschutz Handbuch für die betriebliche Praxis, 2. Auflage, Freiburg im Breisgau 1997. Kropff, B. (1993): Der GmbH-Beherrschungsvertrag: Voraussetzung für den Vorrang von Konzerninteressen?, Festschrift für Johannes Semler, herausgegeben von Marcus Bierich, Peter Hommelhoff, Bruno Kropff, Berlin 1993. Kuhlen, L. (2000): Die Abgrenzung von Täterschaft und Teilnahme, inbesondere bei sogenannten Betriebsbeauftragten in: Amelung, Knut (Hrsg.), Individuelle Verantwortung und Beteiligungsverhältnisse bei Straftaten in bürokratischen Organisationen des Staates, der Wirtschaft und Gesellschaft, Sinzhaim 2000. Freundesgabe Büllesbach 2002 Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern – 191 Lutter, M. (1993): Zur persönlichen Haftung des Geschäftsführers aus deliktischen Schäden im Unternehmen, ZHR 157 (1993), 464. Möllers , T. M. J. (1996): Rechtsgüterschutz im Umwelt- und Haftungsrecht – präventive Verkehrspflichten und Beweiserleichterungen in Risikolagen, Tübingen 1996. Müller, G. F. / Wächter, M (1991): Der Datenschutzbeauftragte: Eine systematische Darstellung des Bundesdatenschutzgesetztes, 2. Auflage, München 1991. Münchener Kommentar zum Aktiengesetz, Band 8 (§§ 278 – 328), herausgegeben von Bruno Kropff und Johannes Semler, 2. Auflage, München 2000. Müncher Kommentar zum Bürgerlichen Gesetzbuch, Band 1 (§§ 1 – 240), herausgegeben von Kurt Rebmann, Franz Jürgen Säcker und Roland Rixecker, 4. Auflage, München 2001. Oehler, W. (1999): Produzentenhaftung im Konzern – Deliktsrecht und Haftungsbeschränkung, ZIP 1999, 1445. Ransiek, A. (1999): Strafrecht im Unternehmen und Konzern ZGR 1999, 613. Rehbinder, E. (2001): Umweltsichernde Unternehmensorganisation, ZHR 165 (2001), 1. Rehbinder, E. (1999): Ders., Andere Organe der Unternehmensverfassung, ZGR 1999, 305. Rudolf, I. (1996), Aufgaben und Stellung des betrieblichen Datenschutzbeauftragten, NZA 1996, 296. Salje, P. (1993): Zivilrechtliche und strafrechtliche Verantwortung des Betriebsbeauftragten für Umweltschutz, BB 1993, 2297. Salje, P. (1998): Umweltverantwortung und Haftung der Gefahrgutbeauftragten, TranspR 1998, 1. Schneider, U. H. (1981): Konzernleitung als Rechtsproblem, BB 1981, 249. Schierbaum, B. / Kiesche, E. (1992): Der betriebliche Datenschutzbeauftragte, CR 1992, 726. Semler, J. (1996): Leitung und Überwachung der Aktiengesellschaft, 2. Auflage, Köln 1996. Simitis, S. (1992): Kommentar zum Bundesdatenschutzgesetz, 4. Auflage, Baden-Baden 1992. Soergel, H. T. (1999): Bürgerliches Gesetzbuch – Kommentar Bd. IV/2 (§§ 823 – 853), 12. Auflage, Stuttgart u.a. 1999. Spindler, G. (2001): Unternehmensorganisationspflichten, Köln 2001. Strate / Wohlers (1998), in: Ewer u. a., Handbuch Umweltaudit, München 1998. Thamm, M. (1994): Die persönliche Haftung bzw. Verantwortlichkeit von Führungskräften und Mitarbeitern im Unternehmen, DB 1994, 1021. Tinnefeld, M.-T. (1991): Datenschutzbeauftragter im Unternehmen CR 1991, 29. Weber, R. (1988): Der Betriebsbeauftragte, Berlin 1988. Wind, I. (1994): Kontrolle des Datenschutzes im nichtöffentlichen Bereich, jur. Diss. Baden-Baden 1994. Freundesgabe Büllesbach 2002 192 Freundesgabe Büllesbach 2002 193 4. DIE CODIERUNG DES DATENSCHUTZES Johann Bizer Der Code – gestaltbar für und gegen den Datenschutz Die Verwendung eines neuen Begriffs in bereits mit Definitionen besetzten Anwendungsfeldern erfüllt vor allem eine heuristische Funktion. Eine andere Nomenklatur kann es jenseits kanonisierter Begriffsbildung erleichtern, bekannte Phänomene aus anderen Blickwinkeln zu sehen und zu interpretieren. In diesem Sinne ist »Code« kein juristischer, sondern eine von dem amerikanischen Rechtswissenschaftler Lawrence Lessig gewählte Bezeichnung für die technischen Gestaltungsprinzipien des Cyberspace (Lessig 1999). Der Code unterscheidet sich von den Gesetzen des Staates, den sozialen Normen des gesellschaftlichen Lebens sowie den Gesetzen des Marktes. Seine Grammatik ist die Software, die die Entfaltungsräume der Nutzer bestimmt. Der Code der Software legt fest, ob und welche Daten personenbezogen erhoben und gespeichert werden, mit welchen Daten sie korreliert und ob und wann sie wieder gelöscht werden. Auf diese Weise bestimmt der Code letztlich die Entfaltungsmöglichkeiten der informationellen Selbstbestimmung. Ist es also die Macht der Technik, die die Spielräume der bürgerlichen Freiheit zwischen ihre starken Arme nimmt? Mitnichten: Die Entfaltungsmöglichkeiten informationeller Selbstbestimmung werden durch die Faktoren Markt, Recht, (soziale) Normen und schließlich den Code der technischen Architektur beeinflusst (Lessig 1999, 86, 2001, 159). Das Grundthema der Regulierung lautet damit »auf den [lessig’schen] Punkt« gebracht, die genannten Faktoren unter Beachtung ihrer Wechselwirkungen auf ein Ziel zu justieren. So wird die Steuerungswirkung des Marktes beispielsweise durch seine rechtlichen Rahmenbedingungen bestimmt, das staatliche Recht kann durch soziale Normen oder den Markt beeinflusst werden und die Architektur des Internets wird durch den Code geprägt, dessen Wirkungen und Steuerungsimpulse wiederum durch staatliches Recht ebenso wie durch den Markt oder soziale Normen beeinflusst werden. Lessig macht nun nicht nur auf die Gestaltungsmacht des Codes in seinen vielfältigen Ausprägungen, sondern vor allem auch auf seine Gestaltbarkeit aufmerksam. Der Code ist also alles andere als neutral, sondern er bestimmt die Entfaltungsmöglichkeiten informationeller Selbstbestimmung immer nur in den von staatlicher Regulierung, Markt und sozialen Normen vorgegebenen 1 Grenzen. Unter diesen Voraussetzungen bezeichnet die »Codierung des Datenschutzes« also die Spielräume und Grenzen, die die technische Infrastruktur des Internets in ihren Protokollen und Anwendungen – also mit ihrer »Architektur« – der informationellen Selbstbestimmung einräumt, während umgekehrt der Code auch durch soziale Normen, Angebot und Nachfrage des Marktes sowie 2 die Gesetze des Staates gestaltet wird. Freundesgabe Büllesbach 2002 194 Bizer 1. Datenschutz durch Technik Für den deutschen Datenschutzrechtler ist der Zusammenhang von Recht und Technik alles andere als neu (siehe Roßnagel 1993).3 Eine an den Zielen des Datenschutzrechts ausgerichtete Technikgestaltung ist für uns nicht nur theoretisches Konstrukt, sondern längst Wirklichkeit des Datenschutzrechts (Bizer 1999 a). Ihr geht zeitgeschichtlich betrachtet die kritische Analyse der Auswirkungen der modernen Datenverarbeitung auf das allgemeine Persönlichkeitsrecht – im heutigen Verständnis die informationelle Selbstbestimmung – voraus (Steinmüller/Lutterbeck/Mallmann 1973; Podlech, DVR 1972/73, 149). In Deutschland hat sie seit den 70er Jahren zu einer staatlichen Datenschutzgesetzgebung mit vornehmlich ordnungsrechtlichen Instrumenten geführt. Erst eine strategische Ausrichtung der Politik an dem Leitbild der Informationsgesellschaft hat Mitte der 90er Jahre auch die Einsicht von der Gestaltbarkeit der Informationstechnik begünstigt und gefördert. Als ein Beleg unter vielen mag die Feststellung des Forschungsrats aus dem Dezember 1995 dienen, der traditionell normative ausgestaltete Datenschutz müsse angesichts der neuen Bedingungen der Datenverarbeitung durch eine »Datenschutztechnologie« ergänzt werden (Forschungsrat 1995, 32). Eine vergleichbare Forderung nach der Entwicklung datenschutzfreundlicher Technologien haben die Datenschutzbeauftragten des Bundes und der Länder im Jahr 1997 gefordert (Konferenz 1997). Die frühzeitige Gestaltung der Datenverarbeitungssysteme als Ansatz datenschutzrechtlicher Regelung verfolgt auch die europäische Union: So heißt es beispielsweise im Erwägungsgrund 46 der EGDatenschutzrichtlinie 46/95/EG vom 25. 10. 1995, dass die zum Schutz der personenbezogenen Daten geeigneten technischen und organisatorischen Maßnahmen insbesondere »zum Zeitpunkt der Planung des Verarbeitungssystems« getroffen werden müssen. 1.1 Datensparsamkeit Mit dem Prinzip der datensparsamen Technikgestaltung hat der deutsche Gesetzgeber den Code der Internetarchitektur dem Primat seines Gesetzes unterworfen. Zunächst 1997 für die Online-Dienste (§ 3 Abs. 4 TDDSG 1997, § 12 Abs. 5 MD-StV 1997), später im Datenschutzrecht für Rundfunkdienste (§ 47 Abs. 5 Rdf-StV) wurde dieses Prinzip im Jahr 2000 auch auf geschäftsmäßige TK-Dienstleistungen ausgeweitet (§ 3 Abs. 4 TDSV) und schließlich im Jahr 2001 in das allgemeine Datenschutzrecht überführt (§ 3 a BDSG): »Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.« Freundesgabe Büllesbach 2002 Der Code – gestaltbar für und gegen den Datenschutz 195 Die besondere Bedeutung dieser Regelung liegt in ihrer »proaktiven« Wirkung (Bizer 2000, § 3, Rn. 132) als präventives und gleichzeitig innovatives Technikgestaltungsrecht (Bizer 1999 a, 46). Der Gesetzgeber selbst hat zur Begründung der damaligen Regelung im TDDSG vor allem den präventiven Aspekt dieser Maßnahme hervorgehoben. »Bereits durch die Gestaltung der Systemstrukturen, in denen personenbezogene Daten erhoben und verarbeitet werden können, soll die Erhebung und Verwendung personenbezogener Daten vermieden und die Selbstbestimmung der Nutzer sichergestellt werden« (BT-Drs. 13/7934, S. 22). Die damalige Koalitionsmehrheit aus CDU/CSU und FDP feierte das »Prinzip der Datenvermeidung« in einem Entschließungsantrag am 11. 6. 1996 als ein Kernelement des Gesetzes (BT-Drs. 7935, S. 3). Und die SPD-Fraktion zählte die »Datenvermeidung« zu den »Grundvoraussetzungen eines effektiven Schutzes der Beteiligten in elektronischen Netzen« (BT-Drs. 13/7936, S. 4). Im Schlussbericht der Enquete-Kommission »Deutschlands Weg in die Informationsgesellschaft« vom 22. 6. 1998 wird die Regulierung des Codes als eine Folge der Globalisierung der Datenverarbeitung und dem verbundenen Verlust an Kontrolle über die Verarbeitung personenbezogener Daten begründet. »Richtungsweisend ist der Ansatz, das Datenschutzrecht um technikrechtliche Elemente zu ergänzen, um Anbieter zum Einsatz von datenminimierenden Einrichtungen der Informations- und Kommunikationstechnik anzuhalten.« (BT-Drs. 13/11004, S. 17). Die Aufnahme des Prinzips der datensparsamen Technikgestaltung in das allgemeine Datenschutzrecht begründete der Gesetzgeber damit, dass »durch die Gestaltung der Systemstrukturen die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten soweit wie möglich vermieden und dadurch Gefahren für das informationelle Selbstbestimmungsrecht des Betroffenen von vornherein minimiert werden« (BT-Drs. 14/4329, S. 33). Weder der Bundesrat noch die Opposition erhoben gegen diese Regelung Einwände, die Abgeordnete Gisela Schröter (MdB, SPD) bezeichnete sie in der Debatte des Deutschen Bundestages als einen »guten Weg«, um Gefahren für die informationelle Selbstbestimmung »systematisch zu reduzieren« (BT-Prot. 14/128, 12390 (C) vom 27. 10. 2000) und der Abgeordnete Jörg Tauss (MdB, SPD) nannte sie ein »zentrales Instrument eines neuen Datenschutzes« (BT-Prot. 14/365, 16180 (B) vom 6. 4. 2001). 1.2 Technische Vorkehrungen Das Prinzip der datensparsamen Technikgestaltung hat in den rechtlichen Anforderungen an die Datensicherheit der Verarbeitung personenbezogener Daten einen Vorläufer. Sowohl § 9 BDSG mit seiner Anlage bzw. Art. 17 der EG-Datenschutzrichtlinie 46/95/EG zielen auf die Gestaltung technischer (sowie organisatorischer) Maßnahmen, um die Verarbeitung personenbezoFreundesgabe Büllesbach 2002 196 Bizer gener Daten zu schützen. Eine vergleichbare Regelung enthält das deutsche Recht in § 87 Abs. 1 TKG, der die Betreiber von TK-Anlagen für Zwecke geschäftsmäßiger Telekommunikation zu »angemessenen technischen Vorkehrungen« insbesondere zum Schutz des Fernmeldegeheimnisses und personenbezogener Daten verpflichtet. Vergleichbare Regelungen kennt das Recht der Onlinedienste, das die Dienstanbieter dazu verpflichtet, die Einhaltung ihrer datenschutzrechtlichen Pflichten durch technische und organisatorische Vorkehrungen sicherzustellen. So hat der Dienstanbieter bspw. nach § 4 Abs. 4 Satz 1 Nr. 2 TDDSG durch besondere Vorkehrungen die Einhaltung seiner sich aus § 6 Abs. 1 TDDSG ergebenden Löschungspflicht sicherzustellen, nämlich dass »die anfallenden personenbezogenen Daten über den Ablauf eines Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht und gesperrt werden können«. 1.3 Förderung von Forschung und Technologie Damit die rechtliche Gestaltung der Technik nicht nur normatives Postulat im Gesetzblatt bleibt, bedürfen ihre Anforderungen der Übersetzung in den Code der Standardisierung (vgl. Büllesbach 1999, 459). Diese Übersetzung muss auf mindestens zwei verschiedenen Ebenen ansetzen, nämlich der Förderung der Forschung und Entwicklung von datenvermeidenden Technologien und ihrer Implementierung in konkrete Anwendungen und Produkte (s. u.1.4). Die Entwicklung und Förderung datenvermeidender Technologien ist in Europa vor allem unter dem Begriff der Privacy Enhanced Technologies (PET) thematisiert worden (Registratiekammer 1995; Burkert 1996; Borking DuD 1998, Borking DuD 2001). Das Fünfte Rahmenprogramm »Forschung, technologische Entwicklung und Demonstration (1998 – 2002)« vom 22. 12. 1998 enthält nicht nur ein eigenes Themenfeld »Benutzerfreundliche Informationsgesellschaft«, sondern nennt auch die Entwicklung von »Technologien für einen besseren Schutz der Privatsphäre« ausdrücklich als einen Schwerpunkt (Abl. EG L 25/1 S. 14 f. vom 1.2.1999). Der derzeit diskutierte Gemeinsame Standpunkt des Rates 27/2002 vom 28. 1. 2002 über ein Sechstes Rahmenprogramm (2002 – 2006) wiederholt diese Zielsetzung zwar nicht ausdrücklich, erwartet aber im Schwerpunkt »Entwicklung des elektronischen und behördlichen Geschäftsverkehrs« eine Berücksichtigung der »Bedürfnisse der Nutzer« (Abl. C 113 E /54 (61) vom 14. 5. 2002), zu dem auch die Förderung datenschutzfreundlicher Technologien gehört. Ein konkretes Beispiel liefert die Mitteilung der EU-Kommission »Internet der nächsten Generation – Vorrangige Maßnahmen beim Übergang zum neuen Internet-Protokoll IPv6« vom 21. 2. 2002. Danach sollen die Normen und Spezifikationen insbesondere der neuen Protokollgeneration IPv6 den Grundrechten auf Schutz der Privatsphäre und 4 des Datenschutzes umfassend Rechnung tragen (KOM (2002) 96, S. 16). Aber nicht nur die Europäische Union, sondern auch der Bund fördert im Freundesgabe Büllesbach 2002 Der Code – gestaltbar für und gegen den Datenschutz 197 Rahmen des Aktionsprogramms »Innovation und Arbeitsplätze in der Informationsgesellschaft des 21. Jahrhunderts« die Entwicklung von technischen Werkzeugen für den Datenschutz.5 Im Rahmen dieses Programms wurde bspw. der Aufbau einer Infrastruktur unabhängiger Mix-Netzknoten im Internet unterstützt, die eine verschlüsselte und anonyme Nutzung von Inter6 netseiten ermöglichen soll (Bäumler DuD 2001). Bereits abgeschlossen ist das Projekt »Datenschutz in Telediensten – DASIT«, in dem ein Konzept für eine datensparsame Abwicklung elektronischer Bestellungen einschließlich der Lieferung und Bezahlung entwickelt und erprobt wurde (Roßnagel 2002 b, Grimm/Löhndorf/Scholz DuD 1999). 1.4 Technische Implementierung Datenschutzgerechte Technikgestaltung ist auf verschiedene Weise möglich: Sie kann bspw. das Erheben und Verarbeiten personenbezogener Daten in den Rechnern der elektronischen Netze minimieren oder den Nutzer mit Werkzeugen zum Selbstschutz ausstatten, damit er seine Daten selbst verschlüsseln oder unter Pseudonym kommunizieren kann. Einen anderen Ansatzpunkt hat das Projekt P3P – Platform für Privacy Preferences des W3C7 Konsortiums – gewählt. In seiner derzeitigen Form ermöglicht P3P die Erstellung maschinenlesbarer Datenschutzerklärungen, die von den Clienten übersetzt werden können. Das Ziel von P3P beschränkt sich also zunächst auf die Transparenz der Datenschutzerklärung des Anbieters. In weiteren Ausbaustufen soll P3P einen Kommunikationsprozess über den Inhalt der Datenschutzerklärung zwischen Server und Client unterstützen (Cranor DuD 2000; Cavoukian/Gurski/Mulligan/Schwartz DuD 2000). P3P bietet also einen technischen Rahmen für die Kommunikation über Datenschutzstandards, ersetzt aber keine Formulierung materieller Regelungen zum Schutz der informationellen Selbstbestimmung (Greß DuD 2001). Seine Praxistauglichkeit hat der P3P-Standard in einer ersten Version im bereits erwähnten Projekt DASIT bewiesen (Enzmann/Schulze 2002, 115). Die Fortschreibung des P3P-Standards um den Prozess einer interaktiven Aushandlung zwischen Anbieter und Nutzer über ein konsentiertes Datenschutzniveau steht allerdings noch aus. 1.5 Akzeptanz Eine Datenschutzpolitik, die auf die Verbreitung datenschutzgerechter oder sogar -sparsamer Technologien setzt, ist jedoch nur erfolgreich, wenn entsprechende Produkte von den Anwendern auch in ihre Systeme implementiert werden. Eine wichtige Motivation für eine derartige Diffusion ist, dass nach Umfragen und Marktstudien zwischen dem gebotenen Datenschutzniveau und der Akzeptanz der Nutzer ein signifikanter Zusammenhang besteht, der die Ausgestaltung des Datenschutzes für Unternehmen zu einem Freundesgabe Büllesbach 2002 198 Bizer relevanten Wettbewerbsfaktor aufwertet (Büllesbach 2002, 53, ders. 1999, 449 ff.; RDV 1997, 239 ff.).8 Nach einer 2001 in Deutschland durchgeführten Umfrage wünschen 53% der Befragten, dass dem Datenschutz künftig mehr Bedeutung zukommen soll (Opaschowski, DuD 2001, 678). Bemerkenswert ist, dass diese Haltung alles andere als eine deutsche Besonderheit darstellt. Nach einer Umfrage unter USBürgern vom August 2000 zeigten sich in den USA bspw. 84% der Einwohner besorgt, wenn Geschäftsleute oder Unbekannte Informationen über sie oder ihre Familie bekommen (The Pew Internet & American Life Project, 2000, pg 25 9 Question 3). In Sachen Datenschutz nach der Vertrauenswürdigkeit von Institutionen befragt, liegen in Deutschland am untersten Ende des Rankings der Adresshandel, den nur 8% für zuverlässig halten, der Versandhandel (10%) sowie Internetanbieter (10%). Versicherungen werden immerhin von 31% der Befragten und Banken von 52% für zuverlässig gehalten (Opaschowski DuD 2001, 673 ff.). Aber auch für diese letzten beiden gilt, dass ihre Werte negativ formuliert (69% bzw. 58%) kaum als zufriedenstellend angesehen werden können. Eine Länder vergleichende Untersuchung aus dem Jahr 1999 zeigt, dass die deutschen Umfragewerte einen internationalen Trend widerspiegeln (vgl. IBM 1999). Während die Vertrauenswürdigkeit der Banken in Sachen Datenschutz in den USA (77 %) und Deutschland (70 %) überwiegend positiv bewertet wird, schneidet der Versandhandel in der Bewertung des Datenschutzes deutlich schlechter ab: Nur 45 % der in den USA Befragten sowie 42 % in Großbritannien und Deutschland kommen zu einer positiven Bewertung dieser Anbieter. Geradezu vernichtend lautet das Urteil der Nutzer und Verbraucher über die kommerziellen Internetanbieter: Nur 21 % USA, 13 % Großbritannien und 10 % Deutschland brachten nach dieser Untersuchung den kommerziellen Internetanbietern in Sachen Datenschutz Vertrauen entgegen. Die Zustimmung zum und die Erwartung an den Datenschutz sind vor allem deswegen von Bedeutung, weil ein deutlicher Zusammenhang zwischen der Einschätzung des Datenschutzes einerseits und dem Kaufverhalten andererseits nachgewiesen werden kann. Datenschutz ist ein Akzeptanzfaktor für die Entwicklung von Märkten. Bereits die IBM–Studie aus dem Jahr 1999 belegt einen Zusammenhang zwischen dem Vertrauen der Kunden in den Datenschutz eines Anbieters und seinem Kaufverhalten. In der Offline-Welt zeigte sich, dass 54 % in den USA, 32 % in Großbritannien und 35 % in Deutschland wegen fehlender Sicherheit über die Verwendung ihrer Daten auf die Nutzung oder den Kauf eines Angebots verzichteten. Bei den kommerziellen Internetanbietern zeigte sich eine noch stärkere Angleichung im internationalen Vergleich, nämlich 57 % in USA, 41 % in Großbritannien und 56 % in Deutschland (IBM 1999, pg 23, 27). Dass dieses Ergebnis keine »Eintagsfliege« ist, beweist eine Umfrage vom Oktober 2000 der Mannheimer Forschungsgruppe Wahlen im Auftrag des Bundesverbandes der Banken. Danach erklärten 62 % der Internetnutzer in Deutschland, sie hätten im Internet noch nicht online bestellt oder gekauft, weil ihrer Meinung nach der Datenschutz unzureichend gewährleistet sei (BvB 2001). Zu verFreundesgabe Büllesbach 2002 Der Code – gestaltbar für und gegen den Datenschutz 199 gleichbaren Ergebnissen kommt die Opaschowski-Studie für das Jahr 2001: Nur 23 % gehen davon aus, dass ihre Daten bei der Nutzung im Internet hinreichend geschützt sind und halten eine Nutzung für unbedenklich. Hingegen gaben 46 % an, wegen Mängeln bei Datenschutz und Datensicherheit das Internet nicht zu nutzen. Noch 26 % sahen sich nicht in der Lage, zu dieser Frage Stellung zu beziehen (»weiß nicht«). 5 % war diese Frage »egal«. 1.6 Marktwirtschaftlicher Datenschutz Das moderne Datenschutzrecht versucht der zunehmenden Bedeutung des Datenschutzes als Akzeptanzkriterium der Nutzer und als Wettbewerbsfaktor der Anbieter durch eine stärkere Implementierung marktwirtschaftlicher Instrumente gerecht zu werden (Büllesbach RDV 1997, Roßnagel 2002a; Bäumler 2002). Datenschutzaudit und Gütesiegel zielen ihrer Intention nach auf eine Prämierung der in den Datenschutz getätigten Anstrengungen und Investitionen durch eine Bescheinigung, mit der im Wettbewerb geworben werden kann. Nach der Bundesregelung des § 9 a BDSG können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen »zur Verbesserung des Datenschutzes und der Datensicherheit (...) ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen«. Die Regelung der näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter bleiben allerdings einem besonderen Gesetz überlassen, das der Bund bislang noch nicht verabschiedet hat. Unter den Landesgesetzgebern, die neben dem Bund eine Regelung für ein Datenschutzaudit im Rahmen ihrer Gesetzgebungskompetenz (Bizer/Petri 2001) in ihr Gesetz aufgenommen haben, hat bislang nur Schleswig-Holstein für seinen öffentlichen Bereich eine Ausführungsregelung erlassen (Bäumler DuD 2002, 326, Golembiewski 2002). Nach dieser Regelung können öffentliche Stellen des Landes ihr Datenschutzkonzept durch das Unabhängige Landeszentrum für Datenschutz prüfen und beurteilen lassen. Methodische Elemente dieses Verfahrens sind eine Bestandsaufnahme, die Festlegung von Datenschutzzielen sowie die Einrichtung eines Managementsystems, die abschließend in einer Datenschutzerklärung zusammengefasst werden. Abgeschlossen wird das Verfahren durch ein zu veröffentlichendes Kurzgutachten des Datenschutzzentrums und der Verleihung eines Auditzeichens. Für die Implementierung einer datenschutzgerechten Technik ist nach der Konzeption des Audits vor allem die Zielvereinbarung von Bedeutung (näher Petri 2002). Eine noch stärkere Steuerungswirkung auf die Ebene der Technik wird das Gütesiegel nach dem Datenschutzrecht in Schleswig-Holstein ausüben. Das Gütesiegels wird für IT-Produkte (Hard- und Software) verliehen, die mit den Vorschriften für den Datenschutz und die Datensicherheit vereinbar sind (§ 4 Freundesgabe Büllesbach 2002 200 Bizer Abs. 2 SG LDSG). Darüber hinaus muss das Produkt aber auch besondere Eigenschaften, insbesondere in Hinblick auf die Datenvermeidung und die Datensparsamkeit, die Datensicherheit und die Revisionssicherheit der Datenverarbeitung sowie die Gewährleistung der Betroffenenrechte aufweisen (§ 2 Abs. 2 Nr. 4 SH GütesiegelVO). Eine unmittelbare Steuerungswirkung entfaltet das Gütesiegels zunächst nur für den Einsatz in der schleswig-holsteinischen Verwaltung. § 4 Abs. 2 SH LDSG verpflichtet die Behörden des Landes, »vorrangig« solche Produkte einzusetzen, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit »in einem förmlichen Verfahren« festgestellt wurde. Eine mittelbare Steuerungswirkung wird das Gütesiegel jedoch auch über die Grenzen Schleswig-Holsteins entfalten, weil Anbieter eines mit einem Gütesiegel versehenen Produkts nicht gehindert sind, gegenüber anderen öffentlichen und privaten Kunden auf die besondere Qualitätsauszeichnung durch das schleswig-holsteinische Gütesiegel zu verweisen. Unter diesem Gesichtspunkt erstaunt es wenig, dass die Ministerpräsidentin von Schleswig-Holstein den Datenschutz als einen »Standortvorteil für das Land Schleswig-Holstein« entdeckt hat (Simonis 2002). Nicht übersehen werden darf jedoch, dass es anderen Anbietern nicht verwehrt ist, neben den gesetzlichen auch privatrechtlich gestaltete Instrumente eines marktwirtschaftlichen Datenschutzes zu entwickeln und anzubieten. Das vielleicht bekannteste unter ihnen ist das Gütesiegel »Quid« (Wedde/Schröder 2001). Daneben sind eine Reihe weiterer Entwicklungen kurz vor der Markteinführung (bspw. Rieß 2001, Schaar/Stotz DuD 2002, 330), deren Ent10 wicklung und Wirkung in den nächsten Jahren zu verfolgen sein wird. Die umfassendsten Anforderungen hat wohl die Initiative D 21 mit ihren Qualitätskriterien für Internet-Angebote vorgelegt. 2. Die Instrumentalisierung des Code Das Konzept einer datenschutzfreundlichen Technikgestaltung ist als Antwort auf die durch Digitalisierung und Vernetzung zunehmenden Risiken für das informationelle Selbstbestimmungsrecht zu verstehen (Bizer 2000, § 3 Rn. 132 ff.). Während im nichtöffentlichen Bereich vor allem die Gefährdungen durch neue Kundenprofile zunehmen, bemächtigt sich zunehmend auch der Staat der Architektur des Internets für Zwecke der Inneren Sicherheit. Letztlich ist die Strategie dieselbe: Der Code ist neutral, aber seine Grammatik kann funktionsbezogen nicht nur zur Förderung der informationellen Selbstbestimmung, sondern auch zu ihrer Einschränkung geschrieben werden. Die folgenden Beispiele beschränken sich auf die staatliche Steuerung bzw. Steuerungsversuche des Codes im Recht der TK-Überwachung. Gemeinsam ist ihnen eine tiefgreifende Einflussnahme der rechtlichen Regulierung auf die Struktur der Verarbeitung personenbezogener Daten. Angesichts der zunehmenden Bedeutung der vernetzten elektronischen Kommunikation kommt der Überwachbarkeit der Datenflüsse dieser Netze eine zentrale Bedeutung zu. Freundesgabe Büllesbach 2002 Der Code – gestaltbar für und gegen den Datenschutz 201 2.1 TKÜV Um den Sicherheitsbehörden auf der Grundlage der gesetzlichen Regelungen eine TK-Überwachung zu ermöglichen, bedarf es geeigneter technischer Einrichtungen auf Seiten der Dienstanbieter. § 88 Abs. 1 TKG verpflichtet die Betreiber von TK-Anlagen, die technischen Einrichtungen zur Umsetzung gesetzlich vorgesehener Maßnahmen zur Überwachung der Telekommunikation »auf eigene Kosten zu gestalten und zu betreiben«. Die näheren technischen Anforderungen sind in der TK-Überwachungsverordnung (TKÜV vom 22.1. 2002, BGBl. I S. 458) konkretisiert (Pernice DuD 2002, 207), die wiederum in einer der Geheimhaltung unterliegenden Technischen Richtlinie (§ 11 TKÜV) präzisiert werden. Art und Ausmaß der rechtlichen Steuerung des Codes verdeutlichen jüngste Forderungen des Bundesrates, der mit Beschluss vom 31. 5. 2002 einen Gesetzesvorschlag verabschiedet hat, in dem von der Bundesregierung eine Ausweitung der technischen Infrastruktur zur TK-Überwachung gefordert wird (BT-Drs. 275/02). Danach sollen die Internet-Provider verpflichtet werden, die im Wege der DSL-Technik anfallenden Verbindungs- und Kommunikationsdaten den zuständigen Behörden »zeitgleich automatisch zu übermitteln«. Die Mobilfunkprovider sollen ferner hardwarebezogene Kennungen der Mobilfunkgeräte an die zuständigen Behörden übermitteln, um die Verwendung mehrerer Karten in einem Gerät zu unterbinden (Entschließung BR-Drs. 275/ 02, S. 1 f.). Die Codierung der technischen Infrastruktur der TK-Überwachung ist alles andere als ein nationales Projekt. sondern wird seit Jahren innerhalb der westlichen Welt (EU, USA und Verbündete) koordiniert. Ein erster umfangreicher Anforderungskatalog findet sich in der Entschließung des Rats der Europäischen Union vom 17.1. 1995 »über die rechtmäßige Überwachung des Fernmeldeverkehrs«, der erst knapp zwei Jahre später veröffentlicht wurde (96/C 329/01, Abl. EG C vom 4.11. 1996). Die in dieser Entschließung formulierten Anforderungen entsprechen weitgehend dem US-amerikanischen Communications Assistance for Law Enforcement Act (CALEA vom 24.10.1994, U.S. Public Law 103-414; 47 U.S.C 1001 – 1010). Seit spätestens 1993 werden die Anforderungen an TK-Betreiber in einer internationalen Arbeitsgruppe (International Law Enforcement Telecommunications Seminar – ILETS) koordiniert 11 (Statewatch, DuD 1997, 346) sowie eine Zusammenarbeit mit der Internationalen Fernmeldeunion (ITU) und zu den internationalen Standardisierungsgremien angestrebt (BMWi BMWi, DuD 1999, 717, 720). Das europäische Standardisierungsinstitut ETSI (European Telecommunications Standards 12 Institute) erarbeitet technische Abhörstandards für öffentliche TK-Systeme. In die gleiche Richtung zielt auch die Empfehlung R (95)13 des Europarates vom 11. 9. 1995.13 Mit Hilfe der technischen Normung und der weltweiten Verbreitung derartiger TK-Anlagen versuchen sich die führenden Industriestaaten des Westens die Möglichkeit zu sichern, die Telekommunikation auch in nicht kooperationswilligen Staaten zu überwachen (Bogonikolos 1999, pg 11). Freundesgabe Büllesbach 2002 202 Bizer 2.2 IMSI-Catcher Das zweite Beispiel für eine Instrumentalisierung des Codes für Zwecke der Inneren Sicherheit ist der Einsatz des sogenannten IMSI-Catchers zur Ermittlung und Überwachung mobil geführter elektronischer Kommunikation. Zentrale Eigenschaft des IMSI-Catchers ist die Möglichkeit, die International Mobile Subscriber Identity (IMSI) eines Mobilfunkgerätes im Einzugsbereich des Catchers zu ermitteln sowie seinen genauen Standort festzustellen (Fox DuD 1997, 539, DuD 2002, 212). Mit Kenntnis der IMSI können die Sicherheitsbehörden von den TK-Dienstanbietern nach § 89 Abs. 6 bzw. § 90 Abs. 1 TKG Auskunft über die von ihnen über den jeweiligen Anschlussinhaber gespeicherten Informationen verlangen (BT-Drs. 13/8453, S. 3). Mit einer Variante des IMSI-Catchers ist es ferner möglich, die Kommunikationsinhalte unmittelbar zu überwachen (BT-Drs. 13/8453, S. 3). Der IMSI-Catcher könnte in dieser technischen Variante, die lediglich eine andere Software erfordert, dazu dienen, die rechtsstaatlichen Sicherungen der TK-Überwachung, insbesondere ihre richterliche Anordnung zu umgehen (BT-Drs. 13/8453, S. 3 zu Nr. 4). Die Funktionalität des IMSI-Catchers beruht im Wesentlichen auf einer konzeptionellen »Einbruchstelle« im Mobilfunkstandard GSM. Das Sicherheitsprotokoll des GSM-Standard sieht nur eine einseitige anstelle einer gegenseitigen Authentifizierung zwischen Sendestation und Endgerät vor (Fox DuD 1997, 539; Pütz DuD 1997, 321). Diese Schwachstelle ermöglicht es dem IMSICatcher, gegenüber dem Handy bzw. seiner IMSI-Karte eine Festnetzstation zu simulieren, ohne dass beim Austausch der Verschlüsselungsschlüssel aufgedeckt werden kann. Erst das UMTS-Protokoll arbeitet mit einer gegenseitigen Authentifizierung und soll derartige Angriffe (»Maskerade« bzw. »Man-in-theMiddle«) verhindern (Pütz/Schmitz/Martin DuD 2001, Fox DuD 2002, 215). Datenschutzrechtlich problematisch ist diese Schwachstelle in der Sicherheitsarchitektur des GSM-Standards nicht nur, weil mit einem illegalen Einsatz des IMSI-Catchers durch auswärtige Dienste im Inland zu rechnen ist, sondern weil seine Verwendung immer auch die Erfassung der im Einzugsbereich des überwachten Handys befindlichen Kommunikationspartner umfasst. Die TKDienstanbieter verweisen ferner auf eine nicht unerhebliche Beeinträchtigung der angebotenen Dienstqualität durch den IMSI-Catcher, da dieser zeitweise den Empfang von Signalen stört, so dass die Verbindungen nicht verfügbar sind (Fox DuD 2002, 214 f.). Der Einsatz des IMSI-Catchers blieb lange Zeit im Dunkeln. Eine erste Regelungsinitiative ging vom Bundesrat aus, der im Rahmen der Beratungen zum Begleitgesetz zum Telekommunikationsgesetz eine gesetzliche Rechtsgrundlage für den Einsatz des IMSI-Catchers sowohl im G-10-Gesetz als auch in der Strafprozessordnung vorschlug (BT-Drs. 13/8453, S. 3 zu Nr. 4, S. 7 zu Nr. 15). In dem damaligen Gesetzgebungsverfahren lehnte die Bundesregierung eine solche Rechtsänderung ab, deutete aber die Verwendung des IMSI-Catchers »zum Zweck der Ermittlung technischer Identifikationsmerkmale als Ersatz für unbekannte Rufnummern« an (BT-Drs. 13/8453, S. 11 zu. Nr. 11, S. 15 zu Nr. 15). Freundesgabe Büllesbach 2002 Der Code – gestaltbar für und gegen den Datenschutz 203 Die Rechtsgrundlagen ermöglichen zwar eine TKÜ-Anordnung gegen den Anschluss einer bestimmten Person unter Nennung der Rufnummer oder einer anderen Kennung (§ 100 b Abs. 2 Satz 2 StPO), aber nicht einen Eingriff in das Fernmeldegeheimnis zur Ermittlung einer unbekannten Kennung einer 14 unbekannten Person. Gleichwohl wurde das Gerät nach einem Bericht des Spiegels zumindest von dem Bundeskriminalamt und dem Bundesgrenzschutz eingesetzt (Spiegel 33/2001, 54; Bundesregierung 2001, BT-Drs. 14/6885). Das hierbei eingesetzte Gerät verfügte nach Angaben des Bundesbeauftragten für den Datenschutz nicht einmal über eine Betriebsgenehmigung nach § 47 TKG (Löwenau-Iqbal, DuD 2001, 578). Mittlerweile hat der Gesetzgeber Rechtsgrundlagen für den Einsatz des IMSI-Catchers durch den Verfassungsschutz sowie die Strafverfolgungsbehörden geschaffen. Der Einsatz ist jeweils auf die Standortermittlung beschränkt. Die Rechtsgrundlage für das Bundesamt für Verfassungsschutz hat der Gesetzgeber im Rahmen des Terrorismusbekämpfungsgesetzes vom 9.1. 2002 (BGBl. I S. 361, 362) erlassen. Danach darf der IMSI-Catcher – bezeichnet als »technisches Mittel« – unter näher bestimmten Voraussetzungen »zur Ermittlung des Standortes eines aktiv geschalteten Mobilfunkendgerätes und zur Ermittlung der Geräte- und Kartennummer« eingesetzt werden. Für die Straftatverfolgungsbehörden hat der Bundestag eine Rechtsgrundlage in § 100 i StPO für den IMSI-Catcher im Schnellverfahren am 17. 5. 2002 auf der Grundlage einer Beschlussempfehlung des Rechtsausschusses (BTDrs. 14/9088) verabschiedet (BT-Prot. 14/237, S. 23742), die jetzt noch den Bundesrat passieren muss. Die Regelung ermöglicht den Einsatz technischer Mittel (IMSI-Catcher) zum einen zur Ermittlung der Geräte- und Kartennummer zur Vorbereitung einer TK-Überwachung nach § 100 a StPO und den Voraussetzungen dieser Regelung. Zum anderen darf der IMSI-Catcher zur Standortermittlung eines aktiv geschalteten Handys zur vorläufigen Festnahme nach § 127 StPO oder zur Vollstreckung eines Haft- oder Unterbringungsbefehls eingesetzt werden, bei Straftaten von erheblicher Bedeutung auch zur Eigensicherung der eingesetzten Beamten. Nach beiden Regelungen dürfen personenbezogene Daten Dritter anlässlich dieser Maßnahmen nur erhoben werden, wenn dies aus technischen Gründen zur Zweckerreichung unvermeidbar ist, sie dürfen nur für den erforderlichen Datenabgleich verwendet werden und sind nach Beendigung der Maßnahme unverzüglich zu löschen. Die im Bundesrat von den Ländern Bayern und Thüringen mit einem Gesetzentwurf vom 27. 11. 2001 verfolgte Linie, eine Rechtsgrundlage zur Ermittlung des Standortes und zur Ermittlung der Geräte- und Kartennummer in § 100 c Abs. 1 Nr. 1 b StPO aufzunehmen (BRDrs. 1014/01, S. 2, 11), konnte sich nicht durchsetzen. Eine weitere Variante hat der Bundesrat am 30. 5. 2002 in das Gesetzgebungsverfahren eingebracht mit einer Ergänzung des § 100 g StPO – der Nachfolgeregelung des außer Kraft 15 getretenen § 12 FAG (BR-Drs. 275/02). Der Bundesrat will darüber hinaus den Einsatz des IMSI-Catchers auch für die Fahndung nach entflohenen Sexualstraftätern anwenden (§ 457 Abs. 4 (neu) E-StPO, § 463 Abs. 4 (neu) E-StPO). Freundesgabe Büllesbach 2002 204 Bizer 2.3 Vorratsspeicherung Ein weiteres Beispiel für die sicherheitspolitisch motivierte Einflussnahme des Gesetzgebers auf den Codes ist die Diskussion über die Einführung von Mindestspeicher- bzw. Vorratsspeicherpflichten im Onlinerecht. Das Beispiel illustriert dass eine staatliche Regulierung sich auch gegen einen im Wesentlichen ökonomisch gestützten Code richten kann. Einer der zentralen Grundsätze des Datenschutzrechts ist die Begrenzung der Datenverarbeitung auf das für einen bestimmten Erhebungszweck erforderliche Maß. Sind die personenbezogenen Daten nicht mehr erforderlich, so sind sie zu löschen: Verbindungsdaten nach § 6 Abs. 2 Satz 2 TDSV unverzüglich »spätestens am Tag nach Beendigung der Verbindung« und Nutzungsdaten nach § 6 Abs. 1 i.V. m. § 4 Abs. 4 Nr. 2 TDDSG unmittelbar nach Beendigung des Zugriffs bzw. der Nutzung. Im Unterschied zum TK-Datenschutzrecht lässt das TDDSG auch eine Sperrung genügen, wenn gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungspflichten einer Löschung entgegenstehen. Allerdings lässt das Datenschutzrecht von der Löschungspflicht Ausnahmen zu, insbesondere soweit die Verbindungs- bzw. Nutzungsdaten zu Abrechnungszwecken benötigt werden (§ 6 Abs. 4 TDDSG, § 6 Abs. 2 Satz 1 i.V.m. § 7 Abs. 1 TDDSG). »Soweit« bedeutet in diesem Zusammenhang, dass aus der Menge der Verbindungs- bzw. Nutzungsdaten nur die für die Abrechnung erforderlichen Daten verarbeitet werden dürfen, während die Restmenge wiederum »unverzüglich zu löschen« ist (§ 7 Abs. 3 Satz 2 TDSV). Entsprechendes ergibt sich für die Verarbeitung der Nutzungsdaten aus dem in § 6 Abs. 4 TDDSG verankerten Prinzip der Erforderlichkeit, das durch eine Verpflichtung zu entsprechenden technischen Vorkehrungen einer Löschung bzw. Sperrung flankiert wird (§ 4 Abs. 4 Nr. 2 TDDSG). Für das Speichern der Abrechnungsdaten sieht das Datenschutzrecht Höchstspeicherfristen (Bizer DuD 2002, 302) vor, d.h. die Provider dürfen die personenbezogenen Abrechnungsdaten »zu Beweiszwecken für die Richtigkeit der berechneten Entgelte« unter Kürzung der Zielrufnummer um die letzten drei Ziffern bis Ablauf dieser Frist speichern (§ 7 Abs. 3 Satz 2, 3 TDSV). Als Ausnahme zu dieser Regel gilt, dass auf Verlangen des Kunden die Abrechnungsdaten mit Versendung der Rechnung zu löschen oder vollständig zu speichern sind (§ 7 Abs. 4 Satz 1 TDSV). Auf Betreiben der Sicherheitsbehörden wurde die Höchstspeicherfrist durch die TDSV vom 18. 12. 2000 (BGBl. I S. 740) von zunächst 80 Tagen auf sechs Monate verlängert (§ 7 Abs. 3 Satz 3 TDSV). In früheren Entwürfen war sogar eine Frist von einem Jahr vorgesehen. Die vom Verordnungsgeber zu dieser Regelung gelieferte Begründung, Vorstellungen aus der Praxis erforderten zur besseren Abrechnung eine verlängerte Speicherfrist, ist allerdings ein »Schimäre«. Tatsächlich sehen große TK-Provider schon aus Kostengründen keine Notwendigkeit von der Höchstspeicherfrist von 80 Tagen abzuweichen – auch wenn dies mit Rücksicht auf zahlungsunwillige Kunden nicht öffentlich kommuniziert wird. Entscheidend ist, dass mit der Verlängerung der Höchstspeicherfrist die Freundesgabe Büllesbach 2002 Der Code – gestaltbar für und gegen den Datenschutz 205 Menge der Verbindungsdaten, auf die die Sicherheitsbehörden im Rahmen ihrer Befugnisse auch rückwirkend zugreifen dürfen, erweitert werden. Die Auskunftsverpflichtung über bspw. TK-Verbindungsdaten beschränkt sich seit der Antiterrorgesetzgebung bei weitem nicht mehr nur auf die für Straftatverfolgung zuständigen Behörden (§ 100 g, h StPO). Nach § 8 Abs. 8 BVerfSchG, § 10 Abs. 3 MAD-Gesetz sowie § 2 Abs. 3 a BND-Gesetz sind nun auch die Nachrichtendienste befugt, allerdings unter den verfahrensrechtlichen Voraussetzungen des Artikel G-10-Gesetzes, von den Anbietern geschäftsmäßiger TK-Dienste und Teledienste Auskünfte über die TK-Verbindungsdaten und Teledienstnutzungsdaten einzuholen (Terrorismusbekämpfungsgesetz vom 9.1. 2002, BGBl. I S. 361). Eine der TDSV vergleichbare Regelung gilt nach dem Datenschutzrecht für Teledienste (§ 6 Abs. 7 TDDSG), die lediglich rechtstechnisch eine andere Konstruktion aufweist: Soweit für Zwecke der Abrechnung erforderlich darf der Provider Nutzungsdaten verarbeiten (§ 6 Abs. 4 Satz 1 TDDSG). Er hat sie folglich zu löschen, wenn sie für den Abrechungszweck nicht mehr benötigt werden. Nur wenn der Kunde einen Einzelnachweis für seine kostenpflichtigen Nutzungen verlangt, dann dürfen die Nutzungsdaten personenbezogen gespeichert werden (vgl. § 6 Abs. 6 TDDSG). Ist dies der Fall, dann gilt eine Höchstspeicherfrist, die nach der Gesetzesfassung vom 14. 12. 2001 (BGBl. I S. 3721) wie auch im TK-Datenschutzrecht von 80 Tagen auf sechs Monate verlängert worden ist. Im Zuge der Verschärfung der Sicherheitsgesetze nach dem Terroranschlag vom 11. September 2001 in New York und Washington hat sich die Diskussion über die Umwandlung der Höchstspeicherfristen in Mindestspeicherpflichten bzw. in die Verpflichtung zur Vorratsspeicherung erheblich intensiviert. Einen ersten Vorschlag hat – soweit ersichtlich – die CDU/CSU-Opposition in einem Gesetzentwurf »zur Verbesserung der Bekämpfung von Straftaten der Organisierten Kriminalität und des Terrorismus« vom 29. 8. 2001 eingebracht (BT-Drs. 14/6834). Mit der Begründung, dass die Auskunft über Verbindungsund Nutzungsdaten leer laufe, wenn diese Daten von den Providern gelöscht werden müssten, wird eine Ausweitung der Verordnungsermächtigung nach § 89 Abs. 1 Satz TKG auf »Mindestspeicherfristen« gefordert (BT-Drs. 14/6834, S. 7, 14). Weitergehende Vorschläge enthielt der von den Ländern Bayern und Thüringen am 27. 11. 2001 eingebrachte Gesetzentwurf »zur Verbesserung des strafrechtlichen Instrumentariums für die Bekämpfung des Terrorismus und der Organisierten Kriminalität« (BR-Drs. 1014 /01). Der Entwurf sah eine Ausweitung des § 89 Abs. 1 TKG auf die Vorratsspeicherung von TK-Daten nicht nur für »Zwecke der Strafverfolgung und der Gefahrenabwehr«, sondern auch für die »Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes sowie des Zollkriminalamtes« vor. Mit der Einbeziehung der Nachrichtendienste geht der Gesetzentwurf über die von der CDU/ CSU-Bundestagsfraktion im Entschließungsantrag »Sicherheit 21« vom Freundesgabe Büllesbach 2002 206 Bizer 9. 10. 2001 ursprünglich vorgesehene Beschränkung der Mindestfristen »zugunsten der Strafverfolgungsbehörden« deutlich hinaus (BT-Drs. 14/7065 (neu)). Nach dem Gesetzesvorschlag Bayerns und Thüringens (BR-Drs. 1014/01) soll die Höhe der Mindestspeicherfrist durch eine Rechtsverordnung unter Berücksichtigung der berechtigten Interessen der Dienstanbieter, der Betroffenen sowie der Erfordernisse »effektiver Strafverfolgung und Gefahrenabwehr« sowie der »effektiven Erfüllung der gesetzlichen Aufgaben« der sonstigen Sicherheitsbehörden festgelegt werden. Eine vergleichbare Regelung sollte unter der Überschrift »Vorratsspeicherung« als neuer § 6 a in das TDDSG eingefügt werden. Im Bundesrat wurde der Vorschlag mit Beschluss vom 22. 3. 2002 zurückgewiesen und deshalb nicht in den Deutschen Bundestag eingebracht. Jedoch finden sich die Vorschläge der Sache nach in einem Beschluss des Bundesrates vom 31. 5. 2002 wieder, nachdem sich die Mehrheitsverhältnisse auf Grund der Wahlergebnisse in Sachsen-Anhalt zu Gunsten der CDU geführten Länder geändert hatten (BR-Drs. 275/02). Dem Beschluss liegt ein von Niedersachsen am 27. 3. 2002 eingebrachter Entwurf eines »Gesetzes zur Verbesserung der Ermittlungsmaßnahmen wegen des Verdachts sexuellen Missbrauchs von Kindern und der Vollstreckung freiheitsentziehender Sanktionen« zugrunde, der jedoch durch die Mehrheit der CDU-geführten regierten Bundesländer erheblich ausgeweitet wurde und über die Verfolgung und Bekämpfung von Straftaten gegen die sexuelle Selbstbestimmung hinausgeht. Der Sache nach werden die Änderungen zu § 89 Abs. 1 TKG sowie § 6 a TDDSG aus dem Gesetzentwurf Bayerns und Thüringens vom 27. 11. 2001 (BR-Drs. 1014/01) wieder aufgegriffen. Gleichwohl ist bemerkenswert, dass wenige Tage nach dem Beschluss der »schwarzgelben« Mehrheit der Bundesvorstand der CDU Deutschlands in dem Version 2.0 »Chancen@Deutschland – Eine Internetstrategie für die Politik« vom 3. 6.2002 »die von der Bundesregierung geplante generelle Verpflichtung von Providern zur Einhaltung von Mindestspeicherpflichten« als »aus rechtsstaatlichen wie auch wirtschaftlichen Gründen nicht tragbar« geißelte. Auf europäischer Ebene spielt die Einführung von Mindestspeicherpflichten derzeit vor allem im Rahmen der Revision der EG-TK-Datenschutzrichtlinie 97/66/66 vom 15. 12. 1997 eine Rolle. Die Problemstellung zwischen den Interessen des Datenschutzes, der Wirtschaft und der Strafverfolgungsbehörden ist bereits in der Mitteilung der Kommission eEurope2002 über die »Schaffung einer sichereren Informationsgesellschaft ...« vom 26. 1. 2001 (KOM (2000) 890, S. 20 – 22) ausgebreitet. Nach Art. 6 Abs. 1 der noch geltenden TKDatenschutzrichtlinie 97/66/EG sind die dort als Verkehrsdaten bezeichneten Verbindungsdaten »nach Beendigung der Verbindung ... zu löschen oder zu anonymisieren«. Ausnahmen sind nur zu festgelegten Zwecken, insbesondere zur Berechnung der Entgelte zulässig. Allerdings ermöglicht Art. 14 der Richtlinie bereits heute den Mitgliedstaaten, Ausnahmen zu Zwecken der inneren und äußeren Sicherheit, insbesondere zur »Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten« zu erlassen. Freundesgabe Büllesbach 2002 Der Code – gestaltbar für und gegen den Datenschutz 207 Während der Kommissionsvorschlag zur Richtlinie »über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation« vom 12. 6. 2000 noch bei dieser Regelung blieb (Art. 15 Abs. 1 KOM (2000) 385), wurde diese Linie spätestens seit dem Frühjahr 2001 von einigen Mitgliedstaaten im Rat der Europäischen Union zu Gunsten einer Regelung der Vorratsspeicherung (»data retention«) aufgeweicht. Insbesondere die Bundesregierung bat die EU-Kommission im Rahmen der Regelung des Art. 6 zu prüfen, »ob und ggf. welche Harmonisierungsmaßnahmen erforderlich sind, um den notwendigen Bedürfnissen der Strafverfolgungsbehörden Rechnung zu tragen« (12. 12. 2001, Dok. 15104/01 ADD 1). Dem Vorschlag des Rates die Ausnahmebestimmung zur strikten Löschungspflicht durch eine Regelung in Art. 15 Abs. 1 des Entwurfes (jetzt Art. 14) aufzuweichen, stimmte das Europaparlament in zweiter Lesung am 30. 5. 2002 mit einer Ergänzung grundsätzlich zu. Nun soll unter der Voraussetzung einer engeren Grundrechtsbindung eine Aufbewahrung der Verbindungsdaten »während einer begrenzten Zeit gemäß den allgemeinen Grundsätzen des Gemeinschaftsrechts« zulässig sein (Europaparlament vom 30. 5. 2002, P516 TAPROV (2002) 0261 – PE 319.107). 3. Fazit Der Ausgangspunkt der Überlegungen war die Regulierung der technischen Infrastruktur des Internets (der Code) und seine Auswirkungen auf den Datenschutz. Dem Gesetzgeber ist es mit dem Prinzip der datenvermeidenden Technikgestaltung sowie weiteren flankierenden Instrumenten gelungen, die informationelle Selbstbestimmung als eine Zielvorgabe der technischen Entwicklung zu implementieren und auf diese Weise einen Paradigmenwechsel im Verhältnis von Technik und Datenschutzrecht einzuleiten. Allerdings gilt – wie die Beispiele zeigen –, dass der Gesetzgeber die Regulierung des Codes längst auch für Zwecke der Inneren Sicherheit instrumentalisiert hat. Die Perspektiven des Datenschutzes liegen in der Förderung einer datensparsamen Technikgestaltung als Bestandteil des Systemdatenschutzes, gleichwohl werden die Gestaltungsräume angesichts des zunehmenden Datenhungers der Sicherheitsbehörden auf die personenbezogenen Daten elektronischer Kommunikation immer enger. Es bleibt die Förderung von Konzepten des technisch unterstützten Selbstdatenschutzes, für den es wiederum eines ungehinderten Zugangs zu sicheren Kryptographieverfahren bedarf, für den sich Alfred Büllesbach vor (Büllesbach 1999, 458) und hinter den Kulissen mit Nachdruck eingesetzt hat. Alfred Büllesbach hat die (zumindest) partiell bestehenden Interessenkonvergenzen zwischen der Wirtschaft einerseits und den Bürgerrechten für Datenschutz und Datensicherheit als Voraussetzungen einer sich entwickelnden Informationsgesellschaft frühzeitig erkannt und als Herausforderung auch seiner eigenen Tätigkeit angenommen. Als Datenschutzpolitiker wird Alfred Freundesgabe Büllesbach 2002 208 Bizer Büllesbach angesichts der Herausforderungen an ein modernes Datenschutzrecht mehr denn je gefordert sein: Wer verbindet schon Erfahrungen aus dem Leben eines Wissenschaftlers und akademischen Lehrers mit denen eines Landesdatenschutzbeauftragten und schließlich den Herausforderungen und Visionen als Datenschutzbeauftragter eines großen internationalen Konzerns? Nur ein Datenschutzpolitiker wie Alfred Büllesbach. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Vergleichbares ließe sich auch für den technischen Schutz des Urheberrechts beschreiben und präzisieren. »Chatten nur unter Pseudonym« wäre also eine »soziale Norm«, »Ohne SSL-Verschlüsselung übermittelt kein Kunde seine Kreditkartennummer« ein Beispiel für eine Steuerung durch den Markt. »Nutzerdaten sind unverzüglich nach Ende der Verbindung zu löschen« ein Beispiel für staatliche Regulierung. »Der Anspruch einer neuen materiellen Rationalität ist also nicht prinzipiengeleitet, sondern dynamisch. In täglicher kommunikativer Herstellung verlangt er die Gestaltung der neuen Technologien nach den Werten Gerechtigkeit, Solidarität und Freiheit ...« (Büllesbach 1986, S. 280). Siehe hierzu Artikel 29 Data Protection Working Group Party, Opinion 2/2002 on the use of unique identifier in telecommunication terminal equipments: the example of Ipv6, Working Paper 48, Adopted on 30. May 2002. 5,8 Millionen DM laut Bundesministerium für Wirtschaft und Technologie, PM vom 31. 1. 2001 »AN.ON – BMWi fördert Projekt zur Stärkung von Anonymität im Internet«. »http://www.datenschutzzentrum.de/projekte/anon/index.htm« sowie »http://www.inf.tu-dresden.de/~hf2/anon/«. Auf P3P verweist im übrigen auch Lessig 1999, 160 f.; dt.: 2001, 283. Näher »http://www. w3.org/P3P/«. »Zu Recht verweigert der Verbraucher, Bürger und Kunde personenbezogene Daten, wenn er nicht gleichzeitig auf einen adäquaten Schutz vertrauen kann. Unternehmen, die diese Herausforderung nicht annehmen, werden deshalb auf dem Markt auf Dauer nicht existieren können« (Büllesbach 1993, S. 80) 59 % very bzw. 25 % somewhat concerned. So wird bspw. die Frage aufgeworfen, welchen haftungsrechtlichen Verbindlichkeitsgrad ein Gütesiegel gegenüber dem Kunden haben kann (Dahm, DuD 2002). Der im Rahmen von ILETS erstellte Anforderungskatalog an Service Provider der TK ist identisch mit dem aus der Ratsentschließung 96/C 329/01 vom 17.1.1995 über die rechtmäßige Überwachung des Fernmeldeverkehrs (EG Abl. C 329/1 vom 4.11.1996). Siehe »http://www.etsi.org/technicalactiv/li.html.« Concerning Problems of Criminal Procedure Law Connected with Information Technology, Appendix 11 f. So später auch die Begründung zu 9 Abs. 4 BVerfSchG: »Die Erkenntnisse ... berühren nähere Umstände der Kommunikation zwischen Personen, die dem Schutz des Grundrechts aus Art. 10 GG unterliegen«, BT-Drs. 14/7386 (neu) S. 40; Ebenso Antrag Niedersachsen BR-Drs. 275/02, S. 5. Stellenweise wurde auf § 161 ff. sowie §§ 100 a, 100 b StPO Abs. 1 Nr. 1 b) StPO zurückgegriffen. Der beschlossene Entwurf wurde in zahlreichen Punkten auf der Grundlage der Beschlüsse des Rechtsauschusses verschärft. Die Maßnahmen müssen »in einer demokratischen Gesellschaft« notwendig, angemessen und verhältnismäßig sein.. Alle genannten Maßnahmen – und damit auch die Datenspeicherung – müssen »den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich des in Artikel 6 Absatz 1 und 2 des Vertrages über die Europäische Union niedergelegten Grundsätzen entsprechen« (Abänderung 46). Freundesgabe Büllesbach 2002 Der Code – gestaltbar für und gegen den Datenschutz 209 Literatur Bäumler, H. (DuD 2002): Marktwirtschaftlicher Datenschutz, Audit und Gütesiegel à la Schleswig-Holstein, DuD 2002, 325 ff. Bizer, J. (1999 a): Datenschutz durch Technikgestaltung, in: H. Bäumler / A. v. Mutius (Hrsg.), Datenschutzgesetze der Dritten Generation, Neuwied 1999, S. 28 ff. Bizer., J. (Bizer 1999 b): Nachfrage nach Sicherheit. Privater Vertraulichkeitsschutz und staatliche Sicherheitspolitik in der Telekommunikation, in: J. Bizer / H.-J. Koch (Hrsg.), Sicherheit, Vielfalt, Solidarität, ein neues Paradigma des Verfassungsrechts? Symposium zum 65. Geburtstag Erhard Denningers am 20. 6. 1997, Baden-Baden 1998, S. 29 ff. Bizer, J. (2000): Kommentierung § 3 TDDSG in: A. Roßnagel, (Hrsg.), Recht der Multimediadienste, Loseblatt 2000. Bizer, J. (DuD 2002): Höchstspeicherfristen, DuD 2002, 302. Bizer, J. / Petri, T. B. (DuD 2000): Kompetenzrechtliche Fragen des DatenschutzAudits, DuD 2000, S. 97 ff. Bogonikolos (1999): Development of Surveillance Technology and Risk of Abuse of Economic Information, Part 1/4, The Perception of Economic Risks Arising from the Potential Vulnerability of Electronic Commercial Media to Interception, Interim Study, Working Document for the STOA Panel, Luxemburg, May 1999, PE 1678.184/Int.St./part _. Borking, J. (DuD 1998): Einsatz datenschutzfreundlicher Technologien in der Praxis, DuD 1998, S. 636 ff. Borking, J. (DuD 2001): Privacy-Enhancing Technologies, Darf es ein Bitchen weniger sein?, DuD 2001, 607-615 Büllesbach, A. (1993): Das Unternehmen in der Informationsgesellschaft, in: Wilhelm, R. (Hrsg.), Information – Technik – Recht: Rechtsgüterschutz in der Informationsgesellschaft, Darmstadt 1993, S. 69 ff. Büllesbach, A. (RDV 1997): Datenschutz und Datensicherheit als Qualitäts- und Wettbewerbsfaktor, RDV 1997, S. 239 ff. Büllesbach, A. (1998): Vernetztes Denken für eine gerechte Gesellschaftsordnung, in: Gesellschaft für Rechts- und Verwaltungsinformatik e.V. (Hrsg.), Kommunikationstechnische Vernetzung: Rechtsprobleme – Kontrollchancen – Klienteninteressen, Darmstadt 1986, S. 263 Büllesbach, A. (1999): Datenschutz als prozessorientierter Wettbewerbsbestandteil, in: Müller, G./Stapf, K.-H. (Hrsg.), Mehrseitige Sicherheit in der Kommunikationstechnik: Bd. 2, Erwartung, Akzeptanz, Nutzung, Bonn 1999, S. 431 ff. Büllesbach, A. (2002): Premium Privacy in: H. Bäumler / A. von Mutius (Hrsg.), Datenschutz als Wettbewerbsvorteil, Wiesbaden 2002, S. 45 ff. Bundesregierung (2001): Rechtliche Zulässigkeit von so genannten IMSICatchern, Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion der FDP, BT-Drs. 14/6885. Freundesgabe Büllesbach 2002 210 Bizer Burkert, H. (1997): Privacy-Enhancing Technologies: Typology, Critique, Vision, in: Agre, P.E./ Rotenberg, M. (Eds.), Tecnology and Privacy: The New Landscape, , Messachusetts 1997, S. 125 ff. BUB 2001: Bundesverband deutscher Banken. Blitz Demoskopie Nr. 11, April 2001. Cavoukian, A. / Gurski, M. / Mulligan, D. / Schwartz, A. (DuD 2000): P3P und Datenschutz, DuD 2000, S. 475 ff. Cranor, L. F. (DuD 2000): Platform for Privacy Preferences – P3P, DuD 2000, 479. Der Spiegel (32/2001): Wahre Wunderbox, Heft 33/2001 vom 13. 8. 2001, S. 54 f. Enquete-Kommission, Zukunft der Medien in Wirtschaft und Gesellschaft, Deutschlands Weg in die Informationsgesellschaft, Schlussbericht, BT-Drs. 13/11004. Enzmann, M. / Schulze, G. (2002, 115): Die DASIT-Lösung in: Ronagel 2002, S. 107 ff. Forschungsrat (1995): Rat für Forschung, Technologie und Innovation: Informationsgesellschaft, Chancen, Innovationen und Herausforderungen, Feststellungen und Empfehlungen, hrsg. vom Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie (BMBF), Bonn 1995. Fox, D. (DuD 1997): IMSI-Catcher, DuD 1997, 539. Fox, D. (DuD 2002): Der IMSI-Catcher, DuD 2002, S. 212 ff. Golembiewski, C. (2002): Das Datenschutzaudit in Schleswig-Holstein, in: H. Bäumler/ v. Mutius (Hrsg.), Datenschutz als Wettbewerbsvorteil, Wiesbaden 2002, S. 107 ff. Greß, Sebastian (DuD 2001): Das Datenschutzprojekt P3P, DuD 2001, 144 ff. Grimm, R. / Löhndorf, N./ Scholz, P. (DuD 1999, 272): Datenschutz in Telediensten (DASIT), DuD 1999, S. 272 ff. IBM (1999): Multi-National Consumer Privacy Survey, October 1999. Konferenz (1997): 54. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Erforderlichkeit datenschutzfreundlicher Technologien, Entschließung vom 23./24. 10. 1997, DuD 1997, S. 735. Lessig, L. (1999): Code and other Laws of Cyberspace, New York 1999 (dt.: Code und andere Gesetze des Cyberspace, Berlin 2001. Löwenau-Iqbal, G. (DuD 2001): Der Einsatz des IMSI-Catchers zur Überwachung von Handys, DuD 2001, S. 578. Opaschowski (2001): Der gläserne Konsument, B.A.T Forschungsinstitut 2001. Opaschowski (DuD 2001): Datenschutz quo vadis ? DuD 2001, S. 678 ff. Pernice, I. (DuD 2002): Die Telekommunikationsüberwachungsverordung (TKÜV), DuD 2002, 207 ff. Petri, T. B. (2002): Zielvereinbarungen im Datenschutzrecht, in: H. Bäumler/ v. Mutius (Hrsg.), Datenschutz als Wettbewerbsvorteil, Wiesbaden 2002, S. 142 ff. Podlech, A. (DVR 1972/73): Verfassungsrechtliche Probleme öffentlicher Informationssysteme, DVR 1972/73, S. 149 ff. Pütz, S. (DuD 1997): Zur Sicherheit digitaler Mobilfunksysteme. Nachweisbare Authentikation am Beispiel von UMTS, DuD 1997, S. 321 ff. Freundesgabe Büllesbach 2002 Der Code – gestaltbar für und gegen den Datenschutz 211 Pütz, S. / Schmitz, R. / Martin, T. (DuD 2001): Security Mechanismen in UMTS, DuD 2001, S. 623 ff. Registratiekamer (1995): Privacy-Enhancing Technologie. The path to anonymity Vol. I und Vol. II 1995. Rieß, J. (2001): Selbstregulierung und E-Business-Politik – Die Sicht der Wirtschaft, TA-Datenbanknachrichten Nr. 4, 10. Jg Dezember 2001, S. 65 ff. Roßnagel, A. (1993): Rechtswissenschaftliche Folgenforschung 1993. Roßnagel, A. (2002 a): Marktwirtschaftlicher Datenschutz im Datenschutzrecht der Zukunft, Wiesbaden 2002, S. 115 ff. Roßnagel, A. (2002 b): Datenschutz beim Online-Einkauf, Wiesbaden 2002. Schaar, P. / Stutz, U. (DuD 2002): Datenschutz-Gütesiegel für OnlineDienstleistungen, DuD 2002, S. 330 ff. Simonis, H. (2002): Datenschutz als Standortvorteil für das Land SchleswigHolstein, in: H. Bäumler / v.Mutius (Hrsg.), Datenschutz als Wettbewerbsvorteil, Wiesbaden 2002, S. 224. Statewatch (DuD 1997): EU and FBI launch global surveillance system, DuD 1997, S. 346 ff. Steinmüller, W. / Lutterbeck, B. / Mallmann, C. u.a. (1973): Grundfragen des Datenschutzes, Gutachten, BT-Drs. 6/3826. The Pew Internet & American Life Project (2000): Trust and privacy online. Why americans want to rewrite the rules, August 2000. Wedde, P. / Schröder (2001): Quid ! Das Gütesiegel für Qualität im betrieblichen Datenschutz, Frankurt am Main 2001. Wenning, R. / Köhntopp, M. (DuD 2001): P3P im europäischen Rahmen, DuD 2001, S. 139 ff. Freundesgabe Büllesbach 2002 212 Freundesgabe Büllesbach 2002 213 Joachim Jacob / Helmut Heil »Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung« 1. Selbstregulierung im Spektrum der Antworten auf datenschutzrechtliche Gegenwartsfragen Wirtschaftliche Globalisierung und Netzoffenheit in weltweiten Dimensionen bilden deutliche Markierungspunkte für die Grenzen nationalstaatlicher Einflussmöglichkeiten und die eingeschränkte Macht hoheitlicher Handlungsformen. Das Netz kennt keine Grenzkontrollen, im Netz herrscht keine Rechtssicherheit (Roßnagel 1997, S. 28). Angesichts der wachsenden Gefahren eines Zurückbleibens des Rechts hinter den umwälzenden Herausforderungen der Informationsgesellschaft kann es kaum verwundern, dass in der Reformdebatte um die Weiterentwicklung des Datenschutzes nicht nur gesetzlichen Maßnahmen, sondern auch Mechanismen der Selbstregulierung ein zunehmend höherer Stellenwert eingeräumt wird (vgl. Bull 1998, S. 313 und Tauss/ Özdemir 2000, S. 144). Und nicht nur unter dem Blickwinkel innerstaatlicher Reformdiskussionen, sondern auch im Zusammenhang mit der erwünschten Akzeptanz europäischer Rechtsvorstellungen im Nicht-EU-Ausland wird beispielsweise in selbstregulierenden »Codes of Conduct« eine Möglichkeit gesehen, international bestehende Verständigungsprobleme über Eignung und Erforderlichkeit staatlicher Regulierungsmaßnahmen zu überbrücken (Kranz, 1998, S. 217 und 2001, S. 161). Zu den Brückenbauern auf diesem Gebiet zählt in vorderster Reihe Alfred Büllesbach, der die Diskussion um datenschutzrechtliche Codes of Conduct für international operierende Konzerne seit Jahren mit hohem Engagement und nachhaltig vorantreibt (siehe etwa Büllesbach, in: Büllesbach (Hrsg.), 17 sowie 2000, S. 3 f. und 2001, S. 137 f.) 2. Ernüchternde (Zwischen-) Bilanz außereuropäischer Vorbilder 2.1 Die Vereinigten Staaten von Amerika Insbesondere die transatlantische Datenschutzdiskussion zwischen der Europäischen Union und den USA ist geprägt von dem Gegensatz zwischen einer Präferenz für die Regelungsverantwortung delegierende Selbstregulierung und für eigenverantwortliche Gestaltung der erforderlichen Prozesse auf amerikanischer Seite und einer deutlich stärker auf formellen Rechts- und insbesondere Gesetzesvorschriften beruhenden europäischen Regelungsorientierung (Heil 1999 b, S. 458 f.). Der dem Safe-Harbor-Arrangement (Entscheidung der Europäischen Kommission vom 26.7.2000, ABl. Nr. L 215 vom 28. 8. 2000, 7 ff.; s.a. Heil 1999 b, S. 461, 2000, S. 444) zugrunde liegende Kompromiss greift denn auch auf selbstregulierende Elemente zurück, für die die Freundesgabe Büllesbach 2002 214 Jacob/Heil europäische Datenschutzrichtlinie 95/46/EG (ABl. Nr. L 281 vom 23.11.1995, 31 ff.) im Rahmen der Bestimmung der Angemessenheit des Schutzniveaus in einem Drittstaat nach Art. 25 Abs. 2 grundsätzlich offen ist (vgl. Artikel 29Datenschutzgruppe, Dok. GD XV D/5057/97 (WP 71) ). Denn ein Schutzkonzept entspricht auch dann dem Regelungszweck, wenn es nicht auf gesetzliche Vorschriften, sondern auf ein auf freiwilliger Selbstverpflichtung beruhendes Reglement gestützt wird, solange es nur aufgrund seiner inhaltlichen Beschaffenheit einen gleichwertigen Schutzeffekt verspricht (Dammann 2000 S. 25). Mit Blick auf die USA gibt es jedoch gute Gründe, die Vorkehrungen besonders kritisch zu prüfen, die die praktische Durchführung der auf selfregulation beruhenden Regelungsbereiche gewährleisten sollen. Denn ausweislich der ersten zusammenfassenden Darstellung des Datenschutzrechts der Vereinigten Staaten aus dem Jahre 1996 (Schwartz/Reidenberg 1996, S. 215 ff., 387 ff., 379 ff.) wird der gemeinsamen Strategie von amerikanischen Regierungskreisen und Wirtschaft, gesetzlichen Regelungsbedarf zu verneinen und ausschließlich auf Selbstregulierung zu setzen, ein deutliches Zeugnis erteilt: Branchen- und Unternehmensrichtlinien sind in den USA weitgehend inexistent, und wenn vorhanden, sind sie vielfach den für die Datenverarbeitung Verantwortlichen unbekannt und ohne wirksamen Sanktionsmechanismus. Abgesehen von Ausnahmen mangelt es an Transparenz für die Betroffenen ebenso wie an durchsetzbaren Individualrechten oder einem wirksamen Schutz gegen zweckwidrige Datenverarbeitungen. Auch neuere Untersuchungen bestätigen die beschränkte juristische Wirksamkeit der Selbstregulierung nach amerikanischem Vorbild, indem sie die zentralen Probleme der selfregulation, die dem soft law immanente Unverbindlichkeit und die damit zusammenhängenden Kontroll- und Vollzugsdefizite, offen legen (Wuermeling 2 3 2000, S. 187 ff. ; Grimm/Roßnagel 2000, S. 448 ff. ; Schwartz 2000, S. 349; 1999 S. 1609; Reidenberg 2001, S. 717). Es überrascht daher wenig, dass die Verhandlungen mit der US-Regierung über das Safe Harbor Principle »Enforcement« einen Schwerpunkt bei den langwierigen Beratungen bildeten, wobei gerade in diesem Punkt ein »Restrisiko« am größten sein dürfte (Stellungnahme 4/2000 (Dok. CAO7/434/00 = WP 32) der Art. 29-Gruppe, 7 f.). 2.2 Japan, Singapur, Hongkong Asiatische Selbstregulierungskonzepte finden sich in Japan, Singapur und Hongkong. Im Jahre 2000 wurden in Hongkong sog. Codes of Practice on Human Resource Management verabschiedet (Privacy Commissioner Hong Kong 2000, S. 9 f. und 68 ff.). In der aktuellen Diskussion befindet sich ein Draft Code of Practice on Monitoring and Personal Data Privacy at Work (Privacy Commissioner Hong Kong 2002; zu Singapur s. EPIC/PI 2000, S. 13 f. und Privacy Law and Business Int’l Newsletter, Vol. 53, April 2000, 7). In Japan mit seiner »verwirrenden Vielfalt von Guidelines« (Überblick bei Roßnagel/Scholz 2000, S. 458) findet man solche für elektronisches Direktmarketing im Rahmen Freundesgabe Büllesbach 2002 »Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung« 215 des Business-to-Consumer E-Commerce. Bei ihrer Ausarbeitung vom Ministerium für internationalen Handel und Industrie (MITI) gefördert, gelten sie für die Mitglieder des japanischen Direktmarketingverbands. Doch auch aus Japan ist hinsichtlich der Befolgungsrate selbstregulierender Vorgaben Kritik zu hören, da auch dort – ähnlich dem Beispiel USA – die entsprechenden Schwachstellen im Bereich der Durchsetzungsmöglichkeiten liegen: Weder ist eine allgemeine Beachtung der Guidelines sichergestellt, noch erstreckt sich ihre Geltung auf die Angestellten der den Guidelines verpflichteten Unternehmen, die ihnen infolgedessen – da Sanktionen nicht zu befürchten sind – keine besondere Aufmerksamkeit schenken (Roßnagel/Scholz 2000, S. 458 Fn. 61). Von Ernüchterung ist denn auch die Bilanz gekennzeichnet, die die vom Electronic Privacy Information Center (EPIC) in Washington und von Privacy International (PI) in London gemeinsam verantwortete Studie »Privacy and Human Rights 1999« zieht. Die Studie zeigt mit ungeschminkter Deutlichkeit, dass die bisherigen Anstrengungen zum Datenschutz durch Selbstregulierung enttäuschend ausfallen, wobei insbesondere »Adequacy« und »Enforcement« die Hauptprobleme bilden; in vielen Ländern böten selbstregulierende Elemente nur geringen Schutz und mangelnde Durchsetzungsmöglichkeiten (EPIC/PI 1999, S. 13 f.). 3. Europäisches Parlament und Europarat Mit dem Ziel, das noch entwicklungsfähige Vertrauen der Benutzer in den elektronischen Geschäftsverkehr durch ansprechende Lösungen für den Schutz der Privatsphäre zu intensivieren, beschlossen im Jahre 1999 das Europäische Parlament und der Ministerrat einen Aktionsplan zur Förderung der sicheren Nutzung des Internet. Dieser wird angesichts seiner knappen Mittelausstattung i.H.v. 25 Millionen Euro jedoch nur Anstöße bieten können. Das bis Ende 2002 laufende Programm sieht als einen von vier Schwerpunkten die Förderung der Selbstkontrolle durch Verhaltenskodizes vor (FAZ vom 27. 7. 2000, S. 8). Für den Bereich des Europarats verabschiedete das Ministerkomitee am 23. 2.1999 die Empfehlung zum Schutz personenbezogener Daten im Internet (R (99) 5), die im Anhang »Leitlinien für den Schutz der Privatsphäre im Internet« enthält. Die sog. »Internet Guidelines« stellen das erste derartige Regelwerk auf internationaler Ebene dar. Die Empfehlung verlangt von den Providern frühzeitige und umfassende Aufklärung über die mit ihren Diensten möglicherweise verbundenen Risiken und appelliert an die Nutzer, alle erreichbaren technischen Vorkehrungen zum Aufbau eines hohen Eigenschutzes zu treffen. Die Guidelines setzen dabei vor allem auf die Eigeninitiative von Providern und Nutzern, die möglichst weit im Vorfeld staatlicher Regulierung ansetzen sollte. Sie könnten als Modelle für verhaltensregelnde Codes of Conduct im nichtöffentlichen Bereich dienen. Freundesgabe Büllesbach 2002 216 Jacob/Heil 4. Förderung von Verhaltensregeln nach der EG-Datenschutzrichtlinie Das allein aus Art. 27 bestehende und »Verhaltensregeln« betitelte Kapitel V der EG-Datenschutzrichtlinie bietet einen interessanten Ansatz zur Sicherung eines bereichsspezifischen und technisch relevanten Datenschutzes für die Mitgliedstaaten der EU und des EWR. Die Vorschrift will der gegen die Selbstregulierung hauptsächlich vorzubringenden Kritik der Unverbindlichkeit, präzisiert durch die jederzeitige Abänderbarkeit und die mangelnde Durchsetzungsfähigkeit, durch die Einführung eines Konsultationsverfahrens zwischen staatlichen bzw. europäischen Stellen und den Verfassern von Verhaltensregeln begegnen. Art. 27 Abs. 1 der Richtlinie verpflichtet Mitgliedstaaten und Kommission zur Förderung der Ausarbeitung von Verhaltensregeln. Dabei liegt das Ziel ausdrücklich darin, die bereichsspezifische Relevanz der aufgrund der Richtlinie erlassenen einzelstaatlichen Vorschriften zu erhöhen. Allerdings ist es den Mitgliedstaaten verwehrt, ihre innerstaatlichen Vorschriften durch Verhaltensregeln zu ersetzen, da diese lediglich der Unterstützung der nationalen Gesetzgebung zu dienen bestimmt sind (Dammann/Simitis 1997, Art. 27 Anm.3; Ehmann/Helfrich 1999 Art. 27 Rdn. 8; Brühann 1999, Art. 27 Rdn. 8). Folglich können datenschutzrechtliche Verhaltensregeln – im Gegensatz zum Verbandsrecht, das etwa in Form von Satzungen abdingbares Recht durch verbandsrechtliche Sondervorschriften ersetzt – das Gesetz nicht substituieren oder inhaltlich abändern, sondern lediglich ausfüllen und vervollständigen. In Art. 27 Abs. 2 ist ein Verfahren zum Erlass von Verhaltensregeln auf mitgliedstaatlicher Ebene geregelt, das eine Kooperation zwischen Berufsverbänden und staatlichen Stellen vorsieht. Der ausschließlich empfehlende Charakter der Verhaltensregeln und ihre reine Hilfsfunktion machen eine vorherige Genehmigung im Sinne eines »Unbedenklichkeitsattests« (Dammann/ Simitis, 1997, Art. 27 Anm. 5), sowie die Überwachung ihrer Einhaltung durch eine Kontrollinstanz erforderlich. Daher sind sie den Aufsichtsbehörden zur Prüfung ihrer Übereinstimmung mit den Vorgaben des jeweiligen innerstaatlichen Rechts vorzulegen. Am Ende des dialogorientierten Verfahrens steht eine Entscheidung der Aufsichtsbehörde, die im Falle eines positiven Ausgangs die vorgelegten Regelungen bestätigend annimmt (im einzelnen Dammann/Simitis 1997, Art. 27 Anm. 8 f.; Brühann 1999, Art. 27 Rdn. 9 ff.). Bestimmungen für Verhaltensregelungen auf der Ebene der Gemeinschaft enthält Art. 27 Abs. 3. Ihnen wird im Hinblick auf den Binnenmarkt zunehmende Bedeutung prognostiziert, da sie die Harmonisierung erheblich voran bringen können (Dammann/Simitis 1997, Art. 27 Anm. 10). Zuständig für Prüfung und Stellungnahme ist die Art. 29-Datenschutzgruppe (dazu Heil 1999 a, 472). Als Vorbereitung auf die praktische Ausführung dieses Auftrags hat die Gruppe eine diesbezügliche Arbeitsunterlage verabschiedet (Dok. GD XV D/5004/98 (WP13)). Danach bestimmt sie, ob ihr unterbreitete Verhaltensregeln mit den Datenschutzrichtlinien und gegebenenfalls den zu deren Freundesgabe Büllesbach 2002 »Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung« 217 Umsetzung erlassenen einzelstaatlichen Vorschriften in Einklang stehen und ob sie ausreichende Qualität und Kohärenz aufweisen sowie genügenden zusätzlichen Nutzen für die Richtlinien und andere geltende Datenschutzrechtsvorschriften liefern. Insbesondere stellt die Gruppe fest, ob der Entwurf der Verhaltensregeln ausreichend auf die spezifischen Fragen und Probleme des Datenschutzes in der jeweiligen Organisation oder auf dem spezifischen Sektor ausgerichtet ist und ob er für diese Fragen und Probleme ausreichend klare Lösungen bietet. Drei Organisationen haben der Arbeitsgruppe bislang ihre Entwürfe für gemeinschaftliche Verhaltensregeln zur Annahme unterbreitet: FEDMA (Federation of European Direct Marketing Associations), IATA (International Air Transport Association) und AESC (Association of Executive Search Consultants). Die Art. 29-Gruppe hat entsprechende Untergruppen gebildet, die jeweils einen Verhaltenskodex prüfen. 5. EU-Mitgliedstaatliche Erfahrungen Die generelle Linie der Richtlinie, die wichtigsten Elemente der verschiedenen nationalen Datenschutzgesetze zu kombinieren und zu einem Gesamtsystem zusammenzuführen, zeigt sich auch in Art. 27. Hinsichtlich der Förderung von Verhaltensregeln stützt sich die Vorschrift auf niederländische, britische und irische Vorbilder einer kontrollierten Selbstregulierung (Dammann/ Simitis 1997, Einl. Anm. 11, Art. 27 Anm. 1; Kuitenbrouwer 1997, S. 109), die bislang vorwiegend auf den Gebieten des Handels- und Kreditauskunftswesens, des Direktmarketing und der Gesundheitsfürsorge bestehen. Selbstregulierende Verhaltensregeln zum Datenschutz lassen sich zuerst für die Niederlande nachweisen (Kaspersen 2000, S. 117 f.; Simitis, BDSG, § 1 Rdn. 118). Die im Datenschutzgesetz aus dem Jahre 1988 enthaltenen Vorschriften über Verhaltensregeln werden im novellierten Gesetz fortgeschrieben. Es regelt auf der Grundlage der im Gesetz selbst festgelegten Prinzipien in Art. 25 die Ausarbeitung von Verarbeitungsbedingungen durch hinreichend repräsentative Organisationen bis hin zur feststellenden Entscheidung der Aufsichtsbehörde darüber, wie die letztlich allein verbindliche, im Amtsblatt zu publizierende Regelung auszusehen hat. Das irische Datenschutzgesetz von 1988 – noch im April 2002 befand sich ein Novellierungsentwurf zur Umsetzung der Richtlinie 95/46/EG in der parlamentarischen Beratung – eröffnet in Sect. 13 interessierten Wirtschaftsverbänden sowie anderen Organisationen die Möglichkeit zur Erarbeitung von Codes of Practice. Im Falle der Genehmigung durch die Aufsichtsbehörde ist der Code of Practice dem Parlament zur abschließenden Entscheidung vorzulegen, woraufhin er rechtliche Bindungswirkung für alle Organisationen in dem betreffenden (Geschäfts-) Bereich entfaltet. Dagegen weist der britische Data Protection Act aus dem Jahre 1998 dem Information Commissioner als Aufsichtsbehörde die Initiative zur VorbeFreundesgabe Büllesbach 2002 218 Jacob/Heil reitung von Codes of Practice zu. Nach Sect. 52 par. 3 i.V.m. Sect. 51 par. 3 sind Wirtschaftsverbände, Betroffene oder diese repräsentierende Organisationen im Rahmen eines Konsultationsverfahrens mit einzubeziehen und die Entwürfe beiden Häusern des Parlaments zur Verabschiedung vorzulegen. Im Zuge der Umsetzung von Art. 27 der EG-Datenschutzrichtlinie gesellen sich zu den »klassischen« Ländern Niederlande, Irland und Vereinigtes Königreich weitere Mitgliedstaaten der Union. Ihnen steht ein beachtlicher Gestaltungsspielraum zur Verfügung, da Art. 27 bei der Förderung von Verhaltensregeln auf eine abschließende Verfahrensregelung verzichtet und sich stattdessen auf die Mitwirkung der zuständigen Stellen konzentriert. Die Mitgliedstaaten können festlegen, welche Organisationen oder Stellen überhaupt Verhaltensregeln erlassen dürfen oder müssen, welche Verfahrensgrundsätze dabei im einzelnen einzuhalten sind, ob und in welchen Verfahren selbstregulierenden Bestimmungen verbindlicher Charakter beigelegt werden kann, in welcher Weise sich die Betroffenen darauf beziehen können und welche Mechanismen zur Bearbeitung von Problemfällen bzw. zur Durchsetzung bestehen müssen (Dammann/Simitis, 1997 Art. 27 Anm. 3). Entsprechende Vorschriften über Verhaltensregelungen finden sich in den neuen Datenschutzgesetzen von Belgien (Art. 44 Abs. 2 und 3), Finnland (Sect. 42), Italien (Art. 31 Abs. 1 Buchst. h), Portugal (Art. 32), Schweden (Sect. 12) und Spanien (Art. 32). 6. Selbstregulierende Elemente im neuen Bundesdatenschutzgesetz 2001 Mit der Novellierung des BDSG (Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. 5. 2001, BGBl. I S. 904) wird in Deutschland zunächst im Zusammenhang mit der Drittstaatenübermittlung gem. § 4 c Abs. 2 Satz 1, 2.Hs. – neben Vertragsklauseln – verbindlichen Unternehmensregelungen die Möglichkeit einer Garantiefunktion eingeräumt, wenn im Land des Datenimporteurs ansonsten kein dem Adäquanzprinzip geschuldetes Datenschutzniveau gewährleistet ist. Das Gesetz stellt sich damit der häufig anzutreffenden Situation, dass Teilunternehmen von international operierenden Unternehmen in Ländern ohne angemessenem Datenschutzniveau angesiedelt sind und das Verhältnis der Teilunternehmen untereinander in der Regel nicht von Vertragsklauseln bestimmt wird. Als Reaktion hierauf gehen internationale Konzerne mehr und mehr dazu über, für alle Teilunternehmen unabhängig vom Standort verbindliche Verhaltenskodizes auf den Gebieten des Datenschutzes und der Datensicherheit zu erlassen (Gackenholz 2000, S. 731 f.; Bizer 2001 a, S. 168). Ein derartiger Verhaltenskodex kann als Arbeitsanweisung oder als Verhaltensregel eigener Art konzipiert und umgesetzt werden. Dadurch können die Schutzwirkungen für betroffene Kunden oder Mitarbeiter gewährleistet werden (Heil in: Abel 2002, § 4 c 4 BDSG Anm. 2.1.6). Alfred Büllesbach (2000, S. 4 und 2001, S. 137 f. ) hat im Hinblick auf Privacy Codes of Conduct für einen global operierenden Konzern Freundesgabe Büllesbach 2002 »Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung« 219 die Diskussion angestoßen und ein interessantes und diskussionswürdiges Konzept vorgelegt. Im Rahmen der Umsetzung von Art. 27 der EG-Datenschutzrichtlinie sollen nach § 38 a BDSG Verhaltensregeln von Berufs- und Branchenverbänden als interne Regelungen zur ordnungsgemäßen Durchführung datenschutzrechtlicher Vorschriften beitragen. Derartige Verhaltensregeln böten einen Rahmen, in dem sich Verbände oder sonstige Repräsentanten von Datennutzern und Betroffenen über ihre jeweiligen Interessen verständigen und faire Verarbeitungsbedingungen aushandeln könnten. Hierfür kämen etwa die Bereiche des Direktmarketing oder der Versicherungen in Betracht (Walz 2000, S. 461). Den in § 38 a Abs. 1 BDSG genannten Verbänden und Vereinigungen wird die Möglichkeit eingeräumt, von ihnen erarbeitete Verhaltensregeln der Aufsichtsbehörde zu unterbreiten. Gem. Abs. 2 der Vorschrift ist die Aufsichtsbehörde zur Überprüfung der vorgelegten Entwürfe anhand des geltenden Datenschutzrechts verpflichtet. Die in der Literatur mit Zustimmung (Bull, 1998, S. 313) aufgenommene Regelung des § 38 a BDSG wird von der novellierten Gemeinsamen Geschäftsordnung der Bundesministerien (GGO) flankiert (Bundeskabinett 2000 S. 7 ff.). Deren § 43 Abs. 1 Nr. 3 legt i. V. m. dem in Anlage 7 enthaltene Prüfkatalog fest, dass bei der Erstellung von Gesetzentwürfen nunmehr auch die Gestaltungsmöglichkeiten selbstregulierender Normgebung im Rahmen der erforderlichen Abwägungen in Betracht zu ziehen sind. 7. Zukunftsweisende Konzeption regulierter Selbstregulierung Das Thema Selbstregulierung wird die Reformdiskussion um den Datenschutz begleiten und wie diese selbst noch für geraume Zeit die Aufmerksamkeit auf sich ziehen. Folgerichtig widmet das im Auftrag des Bundesministeriums des Innern erstellte Gutachten »Modernisierung des Datenschutzrechts« für die zweite Reformphase des Datenschutzes (hierzu Gerhold/Heil 2001, S. 381 f.) der Selbstregulierung die entsprechende Aufmerksamkeit (Roßnagel/Pfitzmann/Garstka 2001, S. 153 ff.): Für eine erste Evaluierung aus Datenschutzsicht ergeben sich unter dem Eindruck außereuropäischer Beispiele, vor dem Hintergrund von Erfahrungen europäischer Nachbarn und mit Blick auf die Äußerungen des Gutachtens für die zweite Stufe der Datenschutzreform in Deutschland erste Postulate für selbstregulierende Normsetzungen. Nach Klarheit verlangt einmal das begriffliche Gedankengebäude (so auch Bennett 2000 a, 1), in dem Verhaltensregeln, Codes of Conduct, Codes of Practice, Privacy Commitments, Privacy Standards, Privacy Codes etc. – bisweilen in kumulativer Aufzählung oder auch als Synonym für das jeweils andere – 5 verwendet werden (Bizer 2001 a, S. 168). Neben der definitorischen Aufgabe und der prioritären Auseinandersetzung mit inhaltlichen Fragen liegen die wesentlichen Herausforderungen in der Zuweisung ihres Stellenwertes im Freundesgabe Büllesbach 2002 220 Jacob/Heil Normengefüge und in der rechtlichen Absicherung der Verhaltensregeln. Angesichts der Realitäten der Informationsgesellschaft ist es wünschwert und letztlich unumgänglich, nach neuen Konzepten des Datenschutzes Ausschau zu halten. Allerdings muss Konsens darüber herrschen, dass selbstregulierende Elemente keine Alternative zur gesetzlichen Absicherung der Grundkomponenten des Datenschutzes sein können (Simitis 1999, S. 212; Schwartz 2000, 347 und 1999, S. 1696). Bei der Arbeitsteilung zwischen gesellschaftlichem Schutz und staatlicher Intervention (Gusy 2000, S. 58) muss ein staatlich mitverantworteter Rahmen private Selbstregulierung begleiten. Dies ist mit dem Konzept der »regulierten Selbstregulierung« am treffendsten beschrieben (Hoffmann-Riem 1998, S. 537; Roßnagel/Pfitzmann/Garstka 2001, 6 S. 158 f.) Entscheidend für die Wirksamkeit einer Selbstregulierung sind das materielle Niveau ihrer Regeln, die Wirksamkeit ihrer Kontrolle und ihre Transparenz (Bizer, DuD 2001 b, 277). Letztlich wird Selbstregulierung nur dann glaubwürdig und von Erfolg gekrönt sein, wenn Verstößen durch ein präventiv wirkendes Haftungsrecht begegnet wird (Bizer, DuD 2001 b, 277). Auch in bezug auf den Datenschutz ist es möglich, dass der Staat einige der ihm historisch zugewachsenen Aufgaben der gesellschaftlichen Selbstregulierung überlässt (Roßnagel 1997, S. 30; Jacob 2000, S. 24). Von zentraler Bedeutung ist dabei jedoch, dass er sich die Vorgabe der Spielregeln und die Kontrolle ihrer Einhaltung vorbehält. Zusammenfassung 7 Resümierend lassen sich fünf Thesen ableiten : 1. Die Rechtswirklichkeit der Informationsgesellschaft erfordert eine Öffnung des Datenschutzes für neue Denkansätze und Konzeptionen. 2. Der Staat kann im Datenschutzrecht einen Teilbereich seiner Aufgaben der gesellschaftlichen Selbstregulierung überlassen. 3. Selbstregulierende Elemente können keine Alternative zur gesetzlichen Absicherung der Grundkomponenten des Datenschutzes sein. 4. Bei der datenschutzrechtlichen Selbstregulierung muss sich der Staat die Vorgabe der Spielregeln und die Kontrolle ihrer Einhaltung vorbehalten. 5. Die hierfür am besten geeignete Methode verkörpert das Prinzip der regulierten Selbstregulierung. 1 2 3 4 5 Davon zu unterscheiden ist die Selbstregulierung i.S.d. Förderung von Verhaltensregeln gem. Kap. V (Art. 27) der Richtlinie, denen im Gemeinschaftsgebiet lediglich eine unterstützende Funktion eingeräumt wird, s. dazu unten 4. Mit einer Zusammenstellung wichtiger US–amerikanischer Verbände und ihrer Codes of Conduct, Codes of Ethics, Guidelines etc. Zur Selbstregulierung durch Privacy Statements u.a.m. sowie zu den in den USA pro und contra vorgebrachten Argumenten zur Selbstregulierung mit zahlr. Nachw. auf S. 451 f.; Zum Inhalt von Privacy Codes of Conduct für einen global operierenden Konzern. Erste Definitionen finden sich bei Dammann/Simitis 1997, Art. 27 Anm. 1 und Bing 2000, 76. Freundesgabe Büllesbach 2002 »Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung« 6 7 221 Damann/Simitis 1997, Einleitung, Anm. 11 und Kaspersen 2000, 122 sprechen von »kontrollierter Selbstregulierung« bzw. »controlled self-regulation«; Lutterbeck 2000, 103, plädiert für ein »mixed system out of self-regulation and regulation by statutes.« Hierzu und zum Vorstehenden Heil 2001, S.129 ff.; insbes. S. 133 f.; zusammenfassend Gerhold/ Heil 2001, S. 382. Literatur Abel, H. (1993): Praxishandbuch Datenschutz, Augsburg 1993 ff. Bennett (2000): Privacy Self-Regulation in a Global Economy: A Race to the Top, the Bottom or Somewhere Else?, Paper Prepared for Plenary Session III of the International Conference of Privacy and Data Protection Commissioners, Venice, September 28 – 30, 2000. Bing, J. (2000): Regulation and Self-Regulation in Data Networks: The Role or Rule of Law in the Information Society, in: Wiebe (2000), S. 75 ff. Bizer. J. (2001 a): Selbstregulierung des Datenschutzes, DuD 25 (2001), 168. Bizer, J. (2001 b): Ziele und Elemente der Modernisierung des Datenschutzrechts, DuD 25 (2001), 274 ff. Brühann, U. (1999): Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, in: Grabitz/Hilf, Kommentar zur Europäischen Union, Teil II: Sekundärrecht, EG-Verbraucher- und Datenschutzrecht (Hrsg. Wolf), A 30, München 1999. Büllesbach, A. (2000): Datenschutz in einem globalen Unternehmen, RDV 2000, 1 ff. Büllesbach A. (1999): Datenverkehr ohne Datenschutz? – Eine globale Herausforderung, Köln 1999. Büllesbach A. (Hrsg.) (1999 a): Innovation und technikgestaltender Datenschutz – gesellschaftliche und wirtschaftliche Anforderungen, in: Büllesbach (1999), S. 1 ff. Büllesbach, A. / Höss-Löw, P. (2001): Vertragslösung, Safe Harbor oder Privacy Code of Conduct, DuD 25 (2001) 135 ff. Bull, H.-P. (1998): Neue Konzepte, neue Instrumente? – Zur Datenschutzdiskussion des Bremer Juristentages, ZRP 1998, 310 ff. Bundeskabinett (2000): Beschluss des Bundeskabinetts vom 26. Juli 2000, in: Bundesministerium des Innern (Hrsg.), Moderner Staat – Moderne Verwaltung, Berlin 2000. Dammann, U. (2000): Safe Harbor – neue Elemente im internationalen Datenschutz, in: Simon/Weiss (Hrsg.) (2000), S. 19 ff. Dammann, U./Simitis, S. (1997): EG-Datenschutzrichtlinie, Kommentar, Baden-Baden 1997. Ehmann, E./Helfrich, M. (1999): Die EG-Datenschutzrichtlinie, Kurzkommentar, Köln 1999. EPIC/PI (1999): Electronic Privacy Information Center (EPIC) / Privacy International (PI), Privacy and Human Rights 1999 – An International Survey of Privacy Laws and Developments, Washington/D.C., USA, 1999 Gackenholz (2000): Datenübermittlung ins Ausland unter besonderer Freundesgabe Büllesbach 2002 222 Jacob/Heil Berücksichtigung internationaler Konzerne, DuD 24 (2000), S. 727 ff. Gerhold, D. / Heil, H. (2001): Das neue Bundesdatenschutzgesetz 2001, DuD 25 (2001), S. 377 ff. Grimm, R. / Rossnagel, A. (2000): Datenschutz für das Internet in den USA, DuD 24 (2000), S. 446 ff. Gusy, Chr. (2000): Informationelle Selbstbestimmung und Datenschutz: Fortführung oder Neuanfang? , KritV 83 (2000), S. 52 ff. Heil, H. (1999 a): Die Artikel 29-Datenschutzgruppe, DuD 23 (1999), S. 471 ff. Heil, H. (1999 b): Europäische Herausforderung – Transatlantische Debatte/ Zur Datenschutzdiskussion zwischen der EU und den USA, DuD 23 (1999), S. 458 ff. Heil, H. (2000): Safe Harbor: Ein Zwischenstandsbericht, DuD 24 (2000), S. 444 f. Heil, H. (2001): Datenschutz durch Selbstregulierung – Der europäische Ansatz, DuD 25 (2001), S. 129 ff. Hoffmann – Riem, W. (1998): Informationelle Selbstbestimmung in der Informationsgesellschaft – Auf dem Weg zu einem neuen Konzept des Datenschutzes, AöR 123 (1998), S. 513 ff. Jacob, J. (2000): Datenschutz in Netzen: Es gibt keinen Grund zur Resignation! – Perspektiven zwischen Regulierung und Selbstregulierung, in: Wiebe (2000), S. 17 ff. Kaspersen, H. (2000): Self-regulation and the Internet, in: Wiebe (2000), S. 117 ff. Kranz, H.-L. (1998), Datenschutz im internationalen Luftverkehr, DuD 22 (1998), S. 215 ff. Kranz, H.-L. (2001): Kundendatenschutz und Selbstregulierung im Luftverkehr, DuD 25 (2001), S. 161 ff. Kuitenbrouwer (1997): Self-Regulation: Some Dutch Experiences, in: U.S. Department of Commerce (Ed.), Privacy and Self-Regulation in the Information Age, Washington/D.C., USA, 1997, S. 109 ff. Lutterbeck, B. (2000): Regulation and Self-Regulation in Open Networks – Four Theses on Internet Governance, in: Wiebe (2000), S. 103 ff. Privacy Commissioner Hong Kong (2000): Office of the Privacy Commissioner for Personal Data, Annual Report 1999 – 2000, Hong Kong 2000. Privacy Commissioner Hong Kong (2002): Office of the Privacy Commissioner for Personal Data, Draft Code of Practice on Monitoring and Personal Data Privacy at Work, Consultation Document, Deadline for Submission of Comments 7 June 2002, Hong Kong 2002. Reidenberg, J. R. (2001): E-Commerce And Trans-Atlantic Privacy, Houston L.R. 44 (2001), S. 713 ff. Roßnagel, A. (1997): Globale Datennetze: Ohnmacht des Staates – Selbstschutz der Bürger, ZRP 1997, S. 26 ff. Roßnagel, A. / Pfitzmann, A. / Garstka, H. (2001): Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern, Berlin 2001. Freundesgabe Büllesbach 2002 »Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung« 223 Roßnagel, A. / Scholz, P. (2000): Datenschutz in Japan, DuD 24 (2000), S. 454 ff. Schwartz, P. (1999): Privacy and Democracy in Cyberspace, Vanderbilt L.R. 52 (1999), S. 1609 ff. Schwartz, P. (2000): Privacy, Participation, and Cyberspace: An American Perspective, in: Simon/Weiss (Hrsg.) (2000), S. 337 ff. Schwartz, P. / Reidenberg, J. R: (1996): Data Privacy Law, Charlottesville/Virginia, USA, 1996. Simitis, S.: Der Transfer von Daten in Drittländer – ein Streit ohne Ende? in: Büllesbach (1999), S. 177 ff. Simitis, S. / Dammann, U. / Geiger, H. / Mallmann, O. / Walz, S.: Kommentar zum Bundesdatenschutzgesetz, 4. Aufl., Baden-Baden 1992 ff. Simon, D. / Weiss, M. (Hrsg.) (2000): Zur Autonomie des Individuums – Liber Amicorum Spiros Simitis, Baden-Baden 2000. Tauss, J. / Özdemir, C. (2000): Umfassende Modernisierung des Datenschutzes in zwei Stufen, RDV 2000, S. 143 ff. Walz, S. (2000): Selbstkontrolle versus Fremdkontrolle – Konzeptwechsel im deutschen Datenschutzrecht? in: Simon / Weiss (Hrsg.) (2000), S. 455 ff. Wiebe, A. (2000): Regulierung in Datennetzen, Darmstadt 2000. Wuermeling, U. (2000): Handelshemmnis Datenschutz – Die Drittländerrege lung der Europäischen Datenschutzrichtlinie, Köln etc. 2000. Freundesgabe Büllesbach 2002 224 Freundesgabe Büllesbach 2002 225 Winfried Hassemer Staat, Sicherheit und Information* 1. Vorläufiges 1.1 Der rhetorische Trick Seit Menschen von Berufs wegen anderen Menschen etwas erzählen, gehört es zu ihren rhetorischen Tricks, gleich am Anfang zu betonen, man verstehe von der Sache, um die es jetzt gleich gehen wird, rein gar nichts – nichts – fast nichts – jedenfalls viel zu wenig, um vor einem Publikum wie dem, das man gerade vor sich hat, auch nur länger als zwanzig Minuten halbwegs bestehen zu können. Dieser Trick, der garantiert auch einen Namen hat, wahrscheinlich einen griechischen – die Griechen haben diese Tricks zwar nicht alle erfunden, sie aber in ein System gebracht und ausgebaut, wovon dann die Römer profitieren konnten –, ist hochklassig, nämlich sowohl simpel als auch vielversprechend. Dies vor allem dürfte der Grund sein, warum er zum eisernen Bestand derjenigen Täuschungsinstrumente rechnet, mit denen die Amerikaner (gemeint sind natürlich die Nordamerikaner) immer wieder versuchen, sich ihre unwilligen Hörer gefügig zu machen; denn die Amerikaner lieben diese Art Rhetorik – warum, weiß ich auch nicht, ist hier aber auch egal. Der Trick jedenfalls ist nicht schlecht. Er macht den Redner nämlich gleich sympathisch: Der hat offenbar nicht nur wenig Ahnung, sondern sagt das auch noch, und der Zuhörer darf sich gebauchpinselt fühlen, weil er paradoxerweise aus seinem anonymen Publikum auf den isolierten armen Kerl da vorne hinuntergucken kann, und das ist doch ein wirklich schönes Gefühl; und dieses Gefühl hat er dem Redner zu verdanken, was ihn schon mal für diesen einnimmt, und das ist rhetorisch bereits die halbe Miete. (Als Redner muss man nur aufpassen, dass es bei dem Gefühl bleibt; denn sollten die Zuhörer den Eindruck gewinnen, dass ihnen gar kein rhetorischer Trick, sondern die reine Wahrheit aufgetischt worden ist, werden sie sich trotz aller schönen Gefühle vielleicht fragen, was sie hier sollen: weshalb sie Zeit, Geld und Mühe aufgewendet haben, um jemandem zuzuhören, der tatsächlich weniger Ahnung von der Sache hat als sie selber. Es ist also ein schmaler Grad, auf dem man wandelt als Redner, und leicht kann man abstürzen.) 1.2 Pfeiler und Gewimmel Drei Pfeiler sind es, die ich zu dem rechnen möchte, was ein Professor des Rechts, ein Verfassungsrichter, ein am Zeitgeschehen interessierter Bürger, Zeitungsleser und gelegentlicher Fernsehzuschauer mehr oder weniger vollständig zur Verfügung hat und worauf er sich jedenfalls vorläufig verlassen darf: Freundesgabe Büllesbach 2002 226 Hassemer – eine Einschätzung des Staates, seiner Geschichte und seiner Möglichkeiten zuerst; – des Weiteren ein auch auf Gründe gestütztes Gefühl für Information und Privatheit, für deren Chancen und Bedrohungen; – und endlich Erfahrungen mit den aktuellen Bedürfnissen sowohl des Staates als auch der Bürgerinnen und Bürger nach Sicherheit – alles gesehen, erinnert und erlebt unter den Scheinwerfern unserer Zeit, die durchaus selektiv und dabei auch in wechselnder Intensität das beleuchten oder im Dunkeln belassen, was uns umgibt. Staat, Sicherheit und Information sind die Felder, auf denen ich mir Urteilskraft zutraue – auch in Erinnerung und Wiederbelebung der Erfahrungen, die ich während der fünf Jahre machen durfte, die ich als der Datenschutzbeauftragte des Landes Hessen gearbeitet habe. Die Gebiete, auf denen ich mich auf mein eigenes Urteil nicht gänzlich verlassen kann, setzen sich aus fast sämtlichen Einzelheiten der Informationstechnologie im Jahr 2002 zusamnmen – wobei »Einzelheiten« nicht identisch sind mit »Quisquilien«, sondern durchaus anspruchsvoll und komplex bestimmt mit dem, was das Wort umgangssprachlich zum Ausdruck bringt. Das Programm dieses Kongresses benennt in seinen Gegenständen das, was ich meine – von Online-Wahlen bis E-Mail-Sicherheitslösungen. Diese Einzelheiten sind mir, trotz entschlossener Bemühungen, den Faden nicht abreißen zu lassen, seit meinem Wechsel aus dem Amt des Datenschutzbeauftragten an das Bundesverfassungsgericht im Frühsommer 1996 immer weniger zur Hand, sie werden immer mehr zum Gewimmel, das den Gesetzen des Chaos zu folgen scheint statt denen einer wohlbegründeten Erwartung. Dieser Eindruck kann natürlich der Wirklichkeit entsprechen; aber mit Urteilen dieser Art möchte ich lieber etwas vorsichtiger sein. Eine solche Erfahrung mag auf Gebieten wie denen der Allgemeinen Strafrechtslehre oder der Moralphilosophie, die sich eher sub specie aeternitatis entwickeln, nicht der Rede wert sein. Bei den Technologien von Information und Kommunikation sieht das gänzlich anders aus. Dort nämlich geht es eher zu wie beim professionellen Musikmachen, wo man selber nach dem ersten Tag, das aufmerksame Publikum aber schon nach dem dritten Tag merkt, dass man nicht geübt hat. Also, ich habe lange nicht mehr richtig geübt. Und ich kann ein Lied davon singen – keine Angst: nicht hier –, wie unterschiedlich die Erinnerungsfähigkeit der Bereiche ist, auf denen wir uns Wissen und Können erarbeitet haben. Möglicherweise wird die eine oder der andere mir jetzt freundlich entgegenhalten, auf solche Einzelheiten komme es nicht an, wenn nur die Grundlagen richtig bestimmt sind und die Richtung. Ich kann überdies auch darauf verweisen, dass ich nicht nur gesammelt, sondern auch gelesen habe, was mir in den letzten Monaten an relevanten Einzelheiten für mein Thema unter die Finger gekommen ist. In der Sache aber hilft es am Ende nur ein bisschen: Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 227 Der Hinweis auf die richtige Grundlagen- und Richtungsbestimmung oberhalb eines Gewimmels von Einzelheiten ist geradezu gefährlich; denn was, so frage ich, wenn nicht die Einzelheiten eines Gegenstandsbereichs, ist letztlich Kriterium dafür, ob Richtung und Grundlagen richtig bestimmt worden sind? Gewiss, nie sind es die Einzelheiten allein, die einem die Richtung angeben können, und es »gibt« auch keine Einzelheiten außerhalb ihrer theoretischen Bestimmung, ja außerhalb ihrer Konstitution durch Beobachtung, durch Vorstellung und Theorie. Das weiß jeder handwerklich gebildete Erkenntnistheoretiker (Hassemer, 2001, S. 15 ff.). Einzelheiten brauchen das Ganze, damit es sie – für uns – überhaupt gibt. Aber es gibt eben, wie derselbe Handwerker der Kognition ebenso gut weiß, auch keine akzeptable Vorstellung ohne eine solide Verfügung über das Vorgestellte, es gibt keine Form ohne Stoff, kein Allgemeines ohne das Besondere, es gibt das Ganze nicht ohne die Einzelheiten, und da liegt mein Hase im Pfeffer. Klar, dass viele Leute vor lauter Bäumen den Wald nicht mehr sehen können, dass dem Gschaftlhuber unter seinen vielen einzelnen Kostbarkeiten das Ganze entgleitet – aber andersherum wird auch ein Schuh draus: Wer, wie ich, über die Einzelheiten nicht verläßlich verfügt, ist in der Gefahr, zumindest das sichere Gefühl für das Ganze zu verlieren, wenn nicht schon die Verlässlichkeit der Wahrnehmung von Einzelheiten. Das ist nun keine Klage und noch viel weniger eine Entschuldigung. So ist eben das Leben auf den Feldern der Wissenschaft und der wissenschaftlich angeleiteten Praxis heutzutage. Bescheidenheit ist angebracht – und zwar für alle. Wer meint, er verfüge über das Gesamte, über die Pfeiler und das Gewimmel zugleich, der sollte gerade über diese seine Meinung einmal vertieft nachzudenken beginnen. Nein, ich entschuldige mich nicht, sondern mache bloß den Versuch, Ihre Erwartungen zu präzisieren und notfalls zu korrigieren: Ich möchte darüber sprechen, was es mit Staat und Information in unseren Zeiten auf sich hat und welche Rolle die Sicherheit dabei spielt. Ich bin davon überzeugt und habe dafür Gründe, dass die Kategorie der Sicherheit, auch außerhalb des Bereichs von Information und Kommunikation, heute eine zentrale Bedeutung für unser Leben hat – innen und außen, also nicht nur für Marktplatz und Institutionen, sondern auch für Ängste und Einschätzungen. Ich meine, dass es hier Probleme gibt, die sich beschreiben lassen, und ich sehe einige Auswege. Ob das alles in Einzelheiten und in der Richtung stimmt, wenn man es, wie Sie es diesem Kongress zum Ziel gesetzt haben, auf die Sicherheitsinfrastruktur konzentriert, das weiß ich nicht, hoffe es aber. Insofern bin ich bezüglich aller Einzelheiten auf Sie angewiesen (wie Sie hoffentlich auch auf mich, soweit es um die allgemeineren Einschätzungen der Lage und der Auswege geht). Das alles ist am Ende vielleicht nicht wenig – wenn man bedenkt, daß es meine Aufgabe ja nicht ist, Ihren Sicherheitskongress bündig und mit sicheren Einschätzungen der Probleme abzuschließen, sondern vielmehr bloß: ihn einzuleiten. Freundesgabe Büllesbach 2002 228 Hassemer 2. Befunde Staat, Sicherheit und Information, meine drei Pfeiler, sind miteinander nicht starr, aber doch fest verbunden und stehen zueinander in engem Kontakt. Das ist nicht weiter verwunderlich in Zeiten, da sowohl die Infomation als auch die Sicherheit in das Zentrum der öffentlichen und der privaten Wahrnehmung gerückt sind; sollte, wie bei uns, in diesen Zeiten auch der Staat noch überlebt haben, so darf man getrost erwarten, daß die Entwicklungen von Sicherheit und Information – man kann diese Entwicklungen schon Karrieren nennen – nicht an ihm vorbei gelaufen sind, dass sie ihn vielmehr ebenfalls ergriffen und verändert haben. So ist es auch, und man kann es vorläufig kurz zusammenfassen: Wir leben in einer Informationsgesellschaft, der Sicherheit zu einem der wichtigsten Güter geworden ist. Beides hat den Staat und unser Verhältnis zu ihm tiefgreifend verändert. Davon soll jetzt die Rede sein. 2.1 Information Wären wir hier unter Strafrechtsprofessoren oder Hühnerzüchtern statt unter Theoretikern und Praktikern der Informationsgesellschaft, so wäre das Gähnen, das ein Redner verbreitet, der sich über die Informationsgesellschaft auslässt, vermutlich dasselbe. Dass wir in einer Informationsgesellschaft leben, gehört heute nämlich zum gesicherten Bestand jeglicher Sonntagsrede wie früher beispielsweise die Warnung vor den Gefahren der Technik für die abendländischen Werte: Hier kann ein Redner, solange er unter den Fittichen des Zeitgeists verbleibt, absolut nichts mehr falsch machen, hier ist er auf der sicheren Seite, und auch kritische Zuhörer kann er mit ein paar Floskeln bis zum Gähnen ruhig stellen. Das Problem ist nur, dass die auch dann gähnen, wenn er etwas ganz anderes vorhat als sie ruhig zu stellen. 2.1.1 Informationsgesellschaft Das ist nun genau meine Lage. Denn was allgemein verbreitet ist, ist ja nicht schon deshalb auch gleich falsch, und dass wir in einer Informationsgesell schaft leben, ist, auch wenn alle dran glauben und es immer wieder erzählen, gleichwohl wahr, und vor allem hat es Konsequenzen. Und um diese Konsequenzen geht es mir. Deshalb muss ich, so prekär das hier auch sein mag, kurz skizzieren, was für mich heute »Informationsgesellschaft« meint und welche Züge sie hat; darauf nämlich baut sich dann eine Analyse der Rollen auf, die Sicherheit und Staat heute spielen. Immerhin kann ich einer Mehrheit unter Ihnen versprechen, das Phänomen »Information« aus einem Blickwinkel zu präsentieren, der Ihnen nicht geläufig ist. Es ist der Blick des Strafrechts und des Strafverfahrensrechts. Ich werde Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 229 dann später, wenn Sie mit diesem Blick vertraut sind, noch einmal schnell aus dieser Ecke schauen, wenn es um die Analysen von Sicherheit und von Staat geht. Ohne Zweifel steht die Kategorie »Information« jedenfalls in der westlichen Gesellschaft des Jahres 2002 im Zentrum unserer Welt, und deshalb nennen wir uns mit Fug eine Informationsgesellschaft. Nicht so, als ob es in diesem Zentrum nichts anderes gäbe – man denke nur an die Gentechnologie oder an die Durchdringung unserer Lebensgrundlagen mit ökonomischen Parametern. Aber doch so, dass »Information« die Ordnung der Eisenfeilspäne, nach denen wir uns ausrichten, mit definiert. Sie bestimmt das Äußere und das Innere, das Objektive wie das Subjektive, also nicht nur das Leben, sondern auch unsere Wahrnehmung vom Leben. Es geht bei dem, was durch Information definiert wird, beispielweise um das Bruttosozialprodukt, um seine Kriterien und Faktoren und um die Orte, an denen es erwirtschaftet wird, es geht um die Typen von Berufen und Beschäftigungen, die an den Rand wandern oder in die Mitte, es geht um den Stellenwert des Produkts »Information« auf den Skalen des individuellen, des ökonomischen, des gesellschaftlichen und des staatlichen Lebens. Das Gut »Information« hat diese Räume und ihre Strukturen durcheinander gebracht und neu geordnet, und es hat sie, nebenbei gesagt, auch geweitet; denn Informationen sind leicht transportabel. Es geht aber auch um die Art und Weise, wie die Menschen ihr Leben wahrnehmen, was sie für wichtig und bedeutsam halten, wovon sie träumen, was ihnen als plausibel oder als verführerisch erscheint, kurz: In der Informationsgesellschaft durchwirkt die Kategorie »Information« nicht nur – was nahe liegt – die objektiven Strukturen und Inhalte des öffentlichen und privaten Lebens; sie konstituiert auch die Akteure und deren Wahrnehmung der Welt. Sie ist ein roter Faden unseres Alltags, von der herrschenden Ökonomie über Kriterien der lebensweltlichen Rationalität bis hin zu dem, was wir als Kunst gelten lassen. 2.1.2 Belege Betrachtet man sich nun das Strafrecht als Beleg, so findet man Bestätigungen dieser Diagnose in einer recht unwichtigen, ja abgelegenen, dafür aber umso verlässlicheren Ecke; im Strafrecht nämlich. Das Strafrecht läuft der Informationsgesellshaft natürlich, wie allen anderen gesellschaftlichen Entwicklungen, hinterher, und das aus gutem Grund; es wäre ja schrecklich, wenn diese Entwicklungen ausgerechnet vom Strafrecht angestoßen oder gar verantwortet würden. Es läuft also hinterher. Es läuft aber wacker. 2.1.2.1 Blut und Information Das Strafrecht ist vermutlich dasjenige Rechtsgebiet – und aus diesem Grund Freundesgabe Büllesbach 2002 230 Hassemer ist es hier ja auch ein verlässlicher Indikator –, das von der Kategorie »Information« weiter entfernt ist als alle anderen. Selbst das doch ebenfalls erdnahe Familienrecht lässt Konstellationen von Information als seine normalen Probleme zu, etwa hinsichtlich von Vermögensbeständen der Ehegatten oder von Abstammungsverhältnissen. Das Strafrecht hat es herkömmlich mit handfesten Dingen zu tun, mit Blut, Knochen und Geld, mit Entführen und Festhalten, Berauben und Vergewaltigen. Das Rechtsgut der Ehre, dem flüchtigen Gegenstand »Information« noch am nächsten verwandt, macht den Kriminalisten eben deshalb traditionell Probleme (Im Zusammenhang dargestellt bei Frisch, 1983, passim, bes. S. 37ff., 161ff.). Das strafrechtliche Denken, am Handhaften hängend, hat die Beleidigung einmal erschöpfend beschreiben wollen als das Auftreffen von Schallwellen auf das Trommelfell – nicht nur zu unserer Belustigung, sondern auch zu unserer Belehrung: wie fern diesem Denken alles Vergeistigte, Entmaterialisierte, wie fern ihm das Phänomen Information ist und wie nah alles, was man anfassen kann. Das hat sich, mit dem Heraufkommen der Informationsgesellschaft, dramatisch geändert, und das strafrechtliche Denken hat diese Entwicklung noch lange nicht verkraftet. Daran kann man studieren, bis in welche Winkel sich bei uns die Kategorie Information ausgebreitet hat. 2.1.2.2 Strafbarkeit Im materiellen Strafrecht, wo es im Wesentlichen um die Beschreibung des strafbaren Verhaltens und um die Strafdrohungen geht, kann man die Reformen der vergangenen Jahre getrost als die Karriere derjenigen Deliktstypen kennzeichnen, die es mit Information zu tun haben. Gewiss, es gab auch gesetzliche Veränderungen im Recht der Abtreibung, der Körperverletzung oder der Vergewaltigung; das aber, was man mit Grund eine Modernisierung des Strafrechts nennen kann im Sinne seiner Anpassung an den sozialen Wandel, der gerade im historischen Moment sich ereignet, der das Strafrecht umgibt und den es mit beeinflussen will, das bezieht sich auf flüchtige, auf nicht-handhafte, eben auf »moderne« Gegenstände wie die Kategorie der Information. Das sind natürlich und trivialerweise zuerst einmal die Tatbestände, die den Schutz der Datenverarbeitung im weitesten Sinne gewährleisten wollen; das sind aber auch und vor allem die Verbote von informativem Zusammenschluss, von kommunikativer Verbrechensvorbereitung, von informationeller Abstimmung und krimineller Einwirkung auf kognitive Vorstellungen des Opfers – sämtlich Verhaltensweisen, welche die Information als instrumentum sceleris, als Verbrechensmittel einsetzen: Subventions- und Kapitalanlagebetrug, Korruption, organisierte Vorbereitung und Durchführung von Rechtsverletzungen, Steuerhinterziehung usw., gewerbsmäßige Kriminalität und Bandenkriminalität. Diese Art Rechtsverletzung riecht nicht mehr nach dem klassischen Arme-Leute-Strafrecht früherer Zeiten, sondern eher nach After Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 231 Shave und Benzin. Sie lebt und stirbt mit dem Gelingen und Mißlingen informationellen Austauschs. 2.1.2.3 Strafverfahren Im formellen Strafrecht, wo es im Wesentlichen um das Verfahren zur Aufklärung und Verhandlung von Straftaten geht, ist das Bild ähnlich. Hier haben sich die Reformen der vergangenen Jahre auf ein ganz kleines Feld des gesamten Gegenstandsbereichs konzentriert, sie haben nur in eine ganz bestimmte Richtung gewirkt, und sie haben fast ausschließlich die Kategorie »Information« bedient. Diese Reformen beschränkten sich auf das strafrechtliche Ermittlungsverfahren und verschärften dort die gesetzlichen Instrumente der Wahrheitserforschung. Sie ergänzten die klassischen Eingriffsmittel wie Durchsuchung, Beschlagnahme oder Untersuchungshaft, die – ähnlich den herkömmlichen Tatbeständen des materiellen Strafrechts – eher handhaft konstruiert waren, durch Erkenntnisinstrumente, die in einer dem materiellen Strafrecht vergleichbaren Weise »modern« aussehen und »modern« wirken. Es sind sämtlich Mittel, die auf Informationsgewinnung setzen: Rasterfahndung, langfristige polizeiliche Observation, Lausch- und Spähangriffe, Erweiterung der Fernmeldeüberwachung, Nutzung geheimdienstlicher Erkenntnisse für das Strafverfahren. Diese Mittel unterscheiden sich von den überkommenen Methoden der Wahrheitserforschung im Ermittlungsverfahren durch zwei fundamentale Kennzeichen, die sich sämtlich dem Umstand verdanken, dass es nunmehr zentral um Informationsgewinnung geht: Sie sind auf Heimlichkeit angewiesen, weil sie ansonsten schon technisch nicht funktionieren, und sie erstrecken sich nicht nur auf den Verdächtigen, sondern typischerweise auf eine ganze Anzahl von Menschen, die mit der aufzuklärenden Tat eher zufällig und vorübergehend verbunden sind. Es läßt sich, jedenfalls mit einer gewissen eingriffstheoretischen Sensibilität, leicht sehen, dass diese Modernisierung des Strafrechts nicht nur ein rechtsstaatlicher Glücksfall ist; sie ist auch, ja vor allem eine Verlängerung und Verschärfung des Schwerts, mit dem das Strafrecht in bürgerlichen Freiheitsräumen operiert. Darum aber soll es hier nicht gehen. Hier geht es um den handgreiflichen Beleg für den Siegeszug der Kategorie »Information« auch in Bereichen, die herkömmlich – und übrigens auch aus guten Gründen (Köhler, S. 53ff. m. Nachw.) – mit dieser Kategorie wenig zu tun hatten. Und dieser Beleg liegt offen zu Tage. 2.2. Sicherheit Man hat uns eine »Risikogesellschaft« genannt, und diese Kennzeichnung, vorgetragen von Sozialwissenschaftlern, Philosophen und auch Kriminalisten Freundesgabe Büllesbach 2002 232 Hassemer (F. Herzog, 1991, bes. S. 50ff.; Prittwitz, 1993, passim), teilt das Schicksal des Labels »Informationsgesellschaft«: Sie ist mittlerweile fester Bestandteil zeitgeistiger Sonntagsreden, was aber nichts daran ändert, dass sie stimmt. Und von der Risikogesellschaft geht es geradewegs zu den Gefilden, in denen das Bedürfnis der Menschen nach Sicherheit wächst und gedeiht, um sodann in Theorie und Praxis des Verfassungsrechts reiche Früchte zu tragen. Auch das möchte ich – in umgekehrter Reihenfolge – kurz skizzieren und dabei wiederum ein paar Belege aus den Entwicklungen meines Fachs, des Strafrechts, vorzeigen. 2.2.1 Grundrecht auf Sicherheit Schon 1983 hat ein Staats- und Verfassungsrechtler, der auch über einen scharfen Blick für politische und gesellschaftliche Entwicklungstendenzen verfügt – Josef Isensee –, ein »Grundrecht auf Sicherheit« formuliert (Isensee), das in mancherlei Hinsicht quer steht zu unseren verfassungsrechtlichen Traditionen und zu der Art und Weise, wie wir gewohnt waren, Grundrechte zu verstehen und dem Staat theoretisch wie praktisch gegenüberzutreten. Isensee hat die Entwicklung zu einem Recht auf Sicherheit nicht »erfunden«oder gar »initiiert« – wie denn auch, wenn sie, was ich behaupte, alle modernen westlichen Gesellschaften gleichermaßen kennzeichnet –; er hat sie aber theoretisch auf den Punkt gebracht und sie vielleicht hie und da auch praktisch befördert (Umsichtige und aktuelle Darstellung der Sicherheit als »Schutzgut« bei Marion Albers, 2001, S. 30ff.).. Ein Grundrecht auf Sicherheit passt mit unseren verfassungsrechtlichen Herkömmlichkeiten augenscheinlich schlecht zusammen. Die Grundrechte galten der liberalen Tradition, die Verfassung zu verstehen, als Abwehrrechte, und zwar gegen den Leviathan, den übermächtigen Staat, der die Menschen zugleich nährte und bedrohte (Exemplarisch Denninger, 1990). Der Staat und niemand sonst war die Gefahr, die es in den Texten zu beschwören und im Alltag zu bändigen galt, er war es, der die Freiheitsräume der Bürgerinnen und Bürger gefährdete und beschränkte durch Machtlust, Ordnungsfanatismus, Neugierde oder blinden Unterwerfungseifer, ihm gegenüber galt es, auf der Hut zu sein und im Notfall – beispielsweise mithilfe der Verfassung, der Gerichte, aber auch der Presse – die Grenzen legitimen Eingriffs zu bewachen, zu markieren und dann auch durchzusetzen. Die Rechte auf Unverletzlichkeit der Wohnung, auf Freiheit der Meinungsäußerung oder auf Schutz des Eigentums – klassische Grundrechte – waren in der Tradition der politischen Philosophie der Aufklärung, der wir uns verbunden wussten, Vorkehrungen gegen einen gefräßigen, zu Übergriffen neigenden Staat. Vor diesem Hintergrund wird sichtbar, dass ein Grundrecht auf Sicherheit einer anderen Welt angehört. Es hat gleichsam die Seiten gewechselt, hat sich ins Feld des Feindes geschlagen, wendet sich hilfesuchend ausgerechnet an denjenigen, dessen Übergriffe es – als Grundrecht – einstmals abzuwehren Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 233 hatte. Denn wie ist die Sicherheit herzustellen, auf die das Grundrecht auf Sicherheit sich richtet? Doch nur durch Einschränkungen anderer - eben der klassischen – Grundrechte. Denn die haben ja den Bürgern – und natürlich auch den frechen, den verbrechensgeneigten – Freiheit verbürgt, wollten den Staat an die Kette legen. Ein Grundrecht auf Sicherheit hingegen läßt sich nur ins Werk setzen, wenn der Staat exakt das Gegenteil dessen tut, was das überkommene Verständnis der Grundrechte wollte, wenn er nämlich die Freiheitsrechte beschränkt: die allgemeine Handlungsfreiheit durch Verhaltensgebote und -verbote, das Eigentum durch Abschöpfung verdächtiger Gewinne, den Schutz der Wohnung durch Lausch- und Spähangriffe. Sicherheit ist ein Widerlager von Freiheit. Und die Freiheit ist es, welche die Grundrechte als Abwehrrechte auf ihrer Agenda hatten. Ein Grundrecht auf Sicherheit dreht den Spieß um. 2.2.2 Sicherheitsbedürfnisse Jenseits der Verfassungsdogmatik ist die Karriere eines Grundrechts auf Sicherheit vor allem wichtig als Symbol, als Kennzeichen unserer Zeit. An ihr können wir vordergründig verstehen, was sich hintergründig vollzieht. Und was sich vollzieht, ist offenkundig (Hassemer, 1995, S. 16 ff. und passim). Es vollzieht sich eine dramatische Erosion des Konzepts und der Praxis von Privatheit, wir beobachten einen wahren Siegeszug der Prävention, und als eine partielle Erklärung dieser Entwicklungen bietet sich das Theorem der »Risikogesellschaft« an. Davon ist jetzt nacheinander die Rede. 2.2.2.1 Privatheit Es ist keineswegs ein aggressiver, hinterhältiger oder bösartiger Staat, der die Bürger – gleichsam wie mit einer Art Gehirnwäsche oder mit den groben Methoden, die sich George Orwell noch ausgedacht hatte – unter Druck setzt, einlullt oder geistig enteignet, so dass sie nicht mehr verstünden, was um sie herum vorgeht; es ist keineswegs ein Staat, der in den geheiligten, privaten Bezirk der Bürger eindringt, sich einschleicht oder auch nur einkauft. Nein, es ist der freie Wille dieser Bürger, auch auf Kosten der Freiheit auf Sicherheit zu setzen und den überwachenden Staat dazu einzuladen. Der Staat ist daran ziemlich unschuldig. In meinen Augen sind wir derzeit dabei, das klassische Konzept von Privatheit zu verlieren. Wer George Orwells »1984« gelesen hat oder sich noch an die Diskussionen und Demonstrationen im Kontext des verfassungsgerichtlichen Urteils zum Volkszählungsgesetz 1983 (BVerfGE 65, 1.) erinnert, kann sich im Jahre 2002 nur verwundert die Augen reiben. Es hat sich an Stelle der Angst vor Entdeckung und Veröffentlichung intimer Daten nunmehr eine rechte Lust darauf verbreitet. Was früher einmal von Jedermann mit allen Freundesgabe Büllesbach 2002 234 Hassemer Kräften unter Verschluss gehalten wurde, wird jetzt auf den Markt getragen. Es gibt eine wachsende Zahl von Leuten, die für irgendeinen Auftritt in den Medien bereit sind, gerade die Dinge auszubreiten, an die man früher am liebsten noch nicht einmal ganz allein für sich im stillen Kämmerlein gedacht hätte, und es gibt eine wachsende Zahl von Leuten, die scharf darauf sind, bei solchen Abstürzen zuzuschauen. Es war sicherlich nicht die pure Naivität (ich hoffe es jedenfalls), ausgerechnet die Sendung, die es auf diese Schaulust angelegt hat, »Big Brother« zu nennen und damit locker anzuspielen auf den einstmals bedrohlichen Ausforscher, Verwirrer und Überwinder. Jetzt macht er nur noch Spaß und keine Angst mehr, jetzt hat er bunte Kleider an oder gar keine (Ich habe das im Feuilleton der Süddeutschen Zeitung vom 28. 2. 2000 etwas genauer betrachtet. Ich finde freilich, beiseite gesprochen, jetzt macht er noch mehr Angst als früher, nur aus anderen Gründen.) Was die Menschen früher umgetrieben, was sie geängstigt und tief beschäftigt hat, leuchtet ihnen heute nicht einmal mehr ein. Was das Bundesverfassungsgericht noch im Jahre 1983 mit düsterer Feierlichkeit als Menetekel an die Wand geschrieben hat: dass nämlich in einer normlosen Gesellschaft die »Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß« (BVerfGE 65, 1 (43)), dürfte den meisten Leuten heute schnuppe sein. Jedenfalls verhalten sie sich so, dass möglichst viele Unbekannte möglichst viel über sie zu wissen kriegen. Ich kritisiere das hier nicht; es könnte ja der Beginn einer neuen Lebensform von Privatheit sein (obwohl zum Hegen dieser Hoffnung schon eine Menge Blauäugigkeit gehört). Ich möchte aber doch festhalten, daß die staatlichen und gesellschaftlichen Halteseile, die einmal zur Rettung der Privatheit entwickelt worden waren, keinen Gegenstand mehr haben oder jedenfalls einen ganz anderen als zur Zeit ihrer Erfindung. Das gilt für so unterschiedliche Dinge wie die Empfindung von Scham oder die Institution des Datenschutzes. Soll es diese Halteseile auch morgen noch geben, dann müssen sie umgestellt werden auf eine Bürgerschaft, der die Wonnen des Dabeiseins über alles gehen. Ob eine solche Umstellung möglich ist, ist durchaus offen. Vielleicht haben sich die Halteseile mit der Erosion der Privatheit aber auch für's erste erledigt. 2.2.2.2 Prävention Gewissermaßen unter der Hand haben sich die Eisenfeilspäne unserer Weltbetrachtung umorientiert vom Pol der Freiheit zum Pol der Sicherheit. Das führt zu Umstellungen auch in anderen Bereichen unseres privaten und öffentlichen Lebens. Ein Begriff, der in diesem Prozess Karriere gemacht hat, heißt Prävention. Prävention ist nicht nur im öffentlichen Eingriffsrecht das Paradigma der Stunde (Grimm; Albrecht; Schmidt – sämtlich in KritV 1986, 38 ff., 43 ff., 83 ff.). Sie ist der entschlossene Versuch, Gefahren unter allen Umständen und mit allen Mitteln zuvorzukommen, und sie kennzeichnet weite Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 235 Bereiche des modernen Alltags. Ich führe als Beleg für den Siegeszug der Prävention die Wandlungen des Strafrechts ins Feld, die sich auf Veränderungen unseres Empfindens gegenüber den aktuellen Bedrohungen unseres Lebens stützen können. Diesen Bedrohungen suchen wir mit fast allen Mitteln zu wehren. Von der »klassischen« Aufgabe des Strafrechts, auf verschuldetes Unrecht angemessen, gerecht zu antworten (Darstellung im Zusammenhang und mit Nachw. bei Jescheck /Weigend, 1996, S. 63 ff.), ist nur noch in eher abgelegenen und überholten Traktaten die Rede. Diese klassische Aufgabe hieß einmal »Vergeltung« – ein Wort, das heute eher den Geruch von etwas abgestandener und jedenfalls sinnloser Grausamkeit verbreitet. Wozu soll das Vergelten denn gut sein, fragt man sich und andere; viel wichtiger ist es doch, rechtzeitig zu verhindern, dass etwas entsteht, was dann am Ende vergolten werden müsste? Das Vergelten setzte eine Gesellschaft voraus, die ihrer selbst sicher wahr, die angesichts des Verbrechens nicht in Panik geriet und deren Gelassenheit so stabil war, dass sie die kriminelle Rechtsgutsverletzung abwarten, sie aufklären und wägen und erst danach aus der Distanz auf sie antworten konnte. Das hat sich fundamental geändert. Niemandem leuchtet mehr ein, das Kind erst in den Brunnen fallen zu lassen, bevor man mit helfenden Eingriffen reagiert. Man muss, davon sind wir heute überzeugt, den Problemen zuvorkommen und sie beseitigen, bevor sie entstehen. Das ist Prävention: entschlossene Reaktion auf die Erwartung künftiger Schäden. Am Siegeszug der Prävention ist, wenn man sich bloß diese Oberfläche anschaut, noch nichts Schlechtes – im Gegenteil: Sie ist eine rationale Reaktion (Kaiser, 1997, S. 73 ff.) auf eine bedrohliche Umwelt. Wer sich von Gefahren und Risiken umstellt sieht, tut gut daran, rechtzeitig dafür zu sorgen, daß das Befürchtete nicht Wirklichkeit wird. Kennzeichnend für das Maß unserer Sicherheitsbedürfnisse wird das Paradigma der Prävention erst, wenn man es in einen weiteren Kontext stellt und zugleich Einzelheiten seiner Verwirklichung betrachtet. Ich zitiere aus einigen Pressemeldungen im zeitlichen Zusammenhang von nur wenigen Tagen, die sowohl Einzelheiten vor Augen führen als auch den Kontext aufscheinen lassen. »Deutschland ist Weltmeister im Abhören«, titelt der Tagesspiegel Anfang März dieses Jahres (Tagesspiegel vom 4.3.2001, Claudia Wessling) und teilt an Einzelheiten mit, dass es E-Mails ohne Datenspuren nicht gibt, dass in den Industriestaaten jeder Erwachsene in durchschnittlich 200 Computerdatenbanken registriert ist, dass von 1988 auf 1999 die Zahl der gerichtlich angeordneten Telefonüberwachungen bei uns von 9800 auf 12600 angestiegen ist oder dass der Bundesnachrichtendienst täglich an die 100 000 Telekommunikationen mit seinen »Staubsaugern« auf verdächtige Begriffe hin untersucht (dazu auch – rechtlich und tatsächlich – BVerfGE 100, 313 (317 ff., 336 ff.)). Die Datenschutzbeauftragten von Bund und Ländern warnen vor der »gläsernen Internet-Gemeinde« und verweisen auf Pläne der Innenminister, die digitalen Signaturen der Internet-Nutzer aufzuzeichnen und zu speichern (Frankfurter Freundesgabe Büllesbach 2002 236 Hassemer Rundschau vom 10.3.2001, Reinhard Voss). Die Bundesjustizministerin will rechtsradikale Botschaften im Internet eindämmen und eine Verschärfung des Presserechts hinsichtlich der Verjährungsfristen prüfen (Die Welt vom 12.3.2001). Der Ermittlungsrichter des BGH urteilt, zur Telefonüberwachung beim Handy gehörten auch Informationen über die Position des Überwachten, wenn der gar nicht telefoniert (Frankfurter Rundschau vom 9.3.2001, Az. 2 BGs 42/2001, mit kritischem Kommentar von Ursula Knapp); damit öffnet er die Tür für die Fabrikation von Bewegungsprofilen. Rechts- und Innenpolitiker nehmen die Vergewaltigung und Ermordung eines Mädchens zum Anlass der Forderung, allen Männern in Deutschland einen DNA-Test abzuverlangen, dessen Ergebnisse in der Gendatenbank des Bundeskriminalamts abgespeichert werden; nur so könne man solche Verbrechen verhindern (Frankfurter Allgemeine vom 13.3.2001, mit kritischem Kommentar von Volker Zastrow). Wir können uns nicht mehr sicher sein, dass auch bei uns irgendwann im Interesse der allgemeinen Prävention so genannte »Pädophilen-Listen« veröffentlicht werden, wie das schon in Großbritannien, Belgien und Italien geschehen ist (Süddeutsche Zeitung vom 25.8.2000, mit kritischen Bemerkungen von Stefan Ulrich, »Renaissance des Prangers«, Angriff auf die Menschenwürde und auf die »Würde der Gesellschaft«, »Akt der Barbarei«). Auch diesmal kritisiere ich nicht in der Sache; dazu liegen die berichteten Einzelheiten – von Verjährungsfristen bis zu einer allgemeinen Gendatei ohne Tatverdacht – eingriffspolitisch ja auch viel zu weit auseinander, und man müsste deutlich differenzieren. Nein, es geht mir vielmehr um eine allgemeine Tendenz, die mächtig, einhellig und unzweideutig ist; diese Tendenz und nichts sonst hält meine Beispiele als roter Faden zusammen. Es ist die Tendenz, bei der Risikoprävention jegliches Maß aufzugeben und dabei der obrigkeitlichen Kontrolle vorbehaltlos zu trauen. Wer sich heute gegen Prävention ausspricht, hat nicht nur politisch schlechte Karten, sondern macht sich verdächtig – bestenfalls als »Gutmensch«, schlimmstenfalls als Beschützer gefährlicher Täter. Das Zweckbindungsprinzip des Datenschutzes verblasst angesichts des Informationshungers von Polizei, Verfassungsschutz und Ermittlungsbehörden vor der verbreiteten Überzeugung, man solle doch nicht vor mühsam erlangten Informationen lebensfremd die Augen verschließen, wenn diese Informationen dazu geeignet seien, schwere Schäden abzuwenden. Der Grundsatz der Verhältnismäßigkeit staatlicher Eingriffe ist derzeit als Grundsatz zwar nicht angefochten; auf der Waage, die er bereithält, wiegen in Zeiten der Risikoangst aber die Gewichte der Bedrohungen unserer Sicherheit immer schwerer gegenüber den normativen Empfehlungen von Zurückhaltung. 2.2.2.3 Risiko Es ist die Kategorie der »Risikogesellschaft«, mit der sich diese hier kurz nachgezeichnete Entwicklung hin zu einem Paradigma der Sicherheit jedenfalls an Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 237 der Oberfläche einsichtig machen lässt (Ausführlicher mein Buch Strafen im Rechtsstaat, 2000, S. 184 f., 258 ff.). Wie die Verbrechensfurcht, die beileibe kein Spiegel der realen Bedrohung durch Verbrechen ist, sondern sich nach ihren eigenen Gesetzen entwickelt (Dörmann/Remmers, 2000, passim.). so ist auch die Risikoangst, deren große Schwester, keineswegs das Ergebnis riskanten Lebens, sondern eher dessen Gegenteil. Ihre Nachdrücklichkeit und ihr Expansionsdrang werden erst verständlich, wenn man zur Kenntnis nimmt, was die Sozialwissenschaftler in der modernen Welt unter »Risiko« verstehen, nämlich Szenerien, die über eine bösartige Mischung schlechter Verheißungen verfügen. Moderne Risiken bestreichen gerade diejenigen Felder, auf denen sich die Modernisierung unseres Lebens vollzieht, Felder, die expandieren und zu einem guten Teil noch unbekannt sind: Globalisierung von Wirtschaft und Kultur, Umwelt, Drogen, Währung, Migration und Integration, Datenverarbeitung, Gewalt unter Jugendlichen. Auf allen diesen Feldern kann sich ein Zusammenbruch der Systeme ereignen, der zu unvorhergesehenen Folgen führt, und dieser Zusammenbruch ist voraussichtlich nicht zu verhindern. Angesichts diese Art Bedrohung lässt sich eine rationale, gelassene, besonnene Reaktion der Betroffenen nicht erwarten. Die erwartet auch niemand. Erwartet wird vielmehr eine allgemeine Verunsicherung, eine Angst und Orientierungsunsicherheit und die Erfahrung von Überforderung (Belege bei Prittwitz, 1993, S. 68 ff.). Überforderung resultiert nicht zuletzt aus den angestrengten Versuchen, Risiken unter Kontrolle zu bringen und wirksame Schutzmechanismen zu entwickeln (Prittwitz, 1993, S. 74 mit Verweis auf Franz-Xaver Kaufmann, 1987). Hier geht es nicht darum, im Einzelnen nachzufragen oder gar nachzuprüfen, ob das auch alles und bis in alle Verästelungen so stimmt; es geht mir jetzt auch nicht um die Frage, welche Auswege aus Risikoangst und Verunsicherung es gibt (Das habe ich ausgeführt in 2000, S. 184 ff., 260 ff., oder, 2001, S. 177 ff.). Es reicht aus, dass diese Beschreibungen unsere Lebenserfahrung dieser Jahre wiedergeben und dass die von der Theorie der Risikogesellschaft vorausgesagten Folgen von Risikoangst im Wesentlichen mit dem übereinstimmen, was uns tatsächlich umgibt und was mit Händen greifbar ist. Stimmen die Beschreibungen im großen und ganzen, so ist mein Ziel erreicht: Es wird verständlich, warum Sicherheit für uns so wichtig geworden ist, warum Prävention im Zentrum unseres Planens steht und warum Privatheit uns wie ein Konzept von vorgestern vorkommt. 2.3 Staat Diese Veränderungen gehen nicht ab ohne Konsequenzen für den Staat und vor allem für unser Verhältnis zu ihm. Ich habe sie eher beiläufig hier und da schon angedeutet und brauche diese Andeutungen jetzt nur noch einzusammeln und auf den Punkt zu bringen: Freundesgabe Büllesbach 2002 238 Hassemer Innerhalb der Ellipse von Freiheit und Sicherheit hat der Staat sich in den letzten Jahren mit leisen, aber großen Schritten bewegt. Er ist vom Brennpunkt der Freiheit in Richtung Brennpunkt der Sicherheit gewandert. Er hat das Kleid des Leviathan, des Bedrohers bürgerlicher Freiheit, abgelegt und das Kleid des Partners übergezogen; er zeigt derzeit, wenn man so will und wenn man bei den überkommenen Symbolen bleiben möchte, eher seine Potenz als Ernährer und Helfer und eher nicht seine Potenz als Kontrolleur und Kerkermeister. Das Bild der Ellipse will zweierlei zum Ausdruck bringen: nicht nur, dass Freiheit und Sicherheit unauflöslich und zu allen Zeiten in einem Spannungsverhältnis zueinander stehen – wie immer die Schwerpunkte historisch gerade verteilt sein mögen. Es will auch darauf hinweisen, dass radikale Zuweisungen (als ginge es ausschließlich um Freiheit oder ausschließlich um Sicherheit) übertrieben oder naiv wären. Es geht immer nur um Schwerpunkte, um Tendenzen – die freilich können, wie wir gesehen haben, deutlich und stabil sein. Dieser Wandel wirft eine Reihe von Problemen auf wie etwa das der bürgerlichen Aufmerksamkeit gegenüber einem Staat, der trotz – oder vielleicht sogar wegen – seiner partnerschaftlichen Angebote in einem Bündnis für Sicherheit seinen Hunger nach Informationen und seine Bedürfnisse nach Kontrolle keineswegs eingebüßt hat – auch insofern wieder: eher im Gegenteil. Auch – oder gerade – der Sicherheit suchende und verbürgende Staat bleibt bedrohlich für die Grund- und Freiheitsrechte. Denn er kann – bei aller informationstechnologischer Fortschrittlichkeit und beim Einsatz moderner, weicher Methoden der Verhaltensregulierung – Sicherheit am Ende nicht garantieren ohne Eingriffe in Freiheitsbereiche der Bürger. Und davon werden wir ja auch täglich Zeugen. Aber auch um diese Probleme soll es hier im einzelnen nicht gehen. Es reicht hin, gezeigt zu haben, dass der Staat in der Phase der Risikogesellschaft und der Sicherheitsbedürfnisse in einem neuen Gewand auftritt, dass er sich den Bürgern – auch in deren Wahrnehmung – hilfreich nähert und dass er im Kontext von Information und Sicherheit eine Schlüsselrolle besetzt. Vor diesem Hintergrund kann es keinen Zweifel geben, dass Informationssicherheit eine Staatsaufgabe ist und dass sie es nie mit tieferen Wurzeln und mit größerem Nachdruck war als heute. 3. Konsequenzen Nun können wir die Ernte einfahren. Es gibt drei Überlegungen, die sich vor dem Hintergrund, den ich hier gezeichnet habe, aufdrängen. Sie werfen die Frage auf, was eigentlich genau gemeint ist, wenn man über »Sicherheit als Staatsaufgabe« nachdenkt, und was daraus praktisch und politisch folgt; sie führen in Einzelheiten der Informationstechnologie und streiten dort dafür, den Staat nachdrücklich an der Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 239 Herstellung informationeller Sicherheit zu beteiligen; sie rufen aber auch in Erinnerung, dass sowohl zu unserer Rechtskultur als auch zu den Hoffnungen, mit denen viele Menschen die Informationstechnologie entwickelt und begleitet haben, so etwas wie Staatsferne gehört. 3.1 Sicherheit durch den Staat »Sicherheit als Staatsaufgabe« – wenn ich mein Thema einmal so verallgemeinern und zusammenfassen darf – meint vordergründig zweifellos die Erwartung, dass der Staat Sicherheit herstellt, dass er sie garantiert und durchsetzt. Das ist eine traditionsreiche und bis heute unerschütterte Erwartung der Menschen, die vergesellschaftet miteinander leben und auskommen müssen (oder dürfen). Die Moderne hat diese Erwartung noch einmal auf den Begriff gebracht. Sie hat das Recht mit der Entstehung der Staaten beginnen lassen und den Staat eingesetzt und legitimiert als den Garanten gleichmäßiger, gerechter und stabiler Ordnung. Sie hat den Staat mit einem Gewaltmonopol ausgestattet und dieses mit Gewaltverboten gegenüber mächtigen Privaten befestigt. Im Staat bündeln sich – bei allen Tendenzen zu Deregulierung, Privatisierung oder Regionalisierung – bis heute die Hoffnungen auf die Umhegung des guten Lebens: Nicht für die Herstellung von Autonomie der Menschen, nicht für die Entwicklung ihrer Moral oder auch für die Lebendigkeit ihres Alltags ist der Staat zuständig (obwohl manche Politiker das gerne hätten und damit hin und wieder spielen), sondern für etwas ganz anderes. Der Staat ist zuständig für die Ränder dieses Lebens: für die Möglichkeiten, menschenwürdig zu wohnen und sich zu ernähren, für die Sicherheit vor Verletzungen, für die Chance, die eigenen berechtigten Interessen gegenüber anderen Interessen zu bewahren. Dass das alles immer bedroht ist und nie bis zur Sättigung gewährleistet sein kann, ist wohlbekannt, ändert aber nichts an der Tatsache, dass es dieses Äußerliche ist, das auf der Agenda des Staates steht. Wenn es ihm eher recht als schlecht gelingt, den Menschen diese Möglichkeiten, Sicherheiten und Chancen zuzusagen und einzuräumen, werden Gewaltmonopol und Gewaltverbote im Gleichgewicht sein. Für den Rest können die Menschen, alleine oder gemeinsam, selber sorgen. Im Bereich der Informationssicherheit ist es vor diesem Hintergrund keine menschenrechtsfreundliche Option, den Staat aus seiner Pflicht zu entlassen, die schützenden Garantien zu schaffen, die ich gerade eben unter allgemeinen Hinsichten entwickelt habe. Information ist, wie gezeigt, ein Essentiale unserer Gesellschaft, mit allen positiven und negativen Begleiterscheinungen. Dann aber ist es eine zwingende Folgerung, die Umhegung gerade auch des informationellen Lebens, das Äußerliche auch der informationellen Entwicklung von niemandem anderen als vom Staat zu erwarten und einzufordern. Er ist auch heute, so weit das Auge reicht, die einzige Instanz, die eine gleichmäßige, gerechte und stabile Ordnung versprechen darf. Freundesgabe Büllesbach 2002 240 Hassemer Das gilt für alle Einrichtungen der Informationssicherheit, die weder der Einzelne noch eine nichtstaatlich verfasste Institution oder Gruppe von Menschen hinreichend tragen und stützen kann, für alle Einrichtungen also, die ein Fundament und ein Gerüst brauchen, – das zum Schutz von Essentialien des menschlichen Lebens aufgebaut ist, – nicht von heute auf morgen einfach abgebaut werden darf und – auf das die Menschen einen Anspruch haben, den sie notfalls vor den staatlichen Gerichten durchsetzen können. Beispiele für diese informationellen Essentialien gibt es mittlerweile zuhauf. Das vornehmste ist die Entscheidung des Bundesverfassungsgerichts zum Volkszählungsgesetz aus dem Jahre 1983 (BVerfGE 65, 1.); diese Entscheidung darf bei uns als der Beginn staatlicher Umhegung der informationellen Selbstbestimmung gelten. Sie hat nämlich, mit der Erhebung dieses Rechts zu einem Grundrecht, einen Schutzwall gegen spontane und beiläufige Eingriffe errichtet, und sie hat zweierlei staatliche Vorkehrungen als Garanten der Informationsfreiheit zur Folge gehabt: die eigentlichen Datenschutzgesetze des Bundes und der Länder sowie bereichsspezifische Regulierungen etwa für die Krankenhäuser, die Schulen oder die Polizei einerseits und die Einrichtungen von Behörden des Datenschutzes andererseits (Ich habe dies, in der auch hier verfolgten Richtung der Argumentation, in Einzelheiten schon dargestellt in Hassemer 1995, S. 31 ff., 36 ff., 55 ff.). Beides – Normativierung durch Gesetze und Institutionalisierung durch Datenschutzbeauftragte - wäre ohne staatliche Intervention gestern wie heute undenkbar, und beides ist notwendige Entstehungs- und Überlebensbedingung für das Grundrecht auf informationelle Selbstbestimmung. Überhaupt sind die Datenschutzgesetze in ihrem klassischen Zuschnitt, soweit sie die private Datenverarbeitung noch aussparen, sinnfällige Belege für das, was im Bereich der Informationssicherheit Staatsaufgabe ist (Belege wiederum in Hassemer 1995, S. 44 ff.). Staatsanwaltschaft, Geheimdienste, Gesundheit, Soziales, Telekommunikation, Wissenschaft oder die gesetzliche Regulierung des Umweltschutzes – es steht außer Diskussion, dass hier der Staat zu regulieren und auch für Informationssicherheit zu sorgen hat. Wie er das tut, ob er Private bei der Erfüllung dieser Aufgaben heranzieht und ihnen dabei etwa Teilbereiche der Sicherungspflichten überträgt, ist freilich grundsätzlich seine Sache. Das kann bei der Informationstechnologie nicht anders sein als auch sonst in der modernen Staatsverwaltung. Ich kann nicht sehen, dass die Informationssicherheit durch staatliche Gewährleistung ein auslaufendes Modell sei. Auch wenn Sicherheitsaufgaben in immer größerer Zahl weiterhin aus den hölzernen Handschuhen des Staates in die flinken Händen von Privaten wandern sollten (niemand kennt die Zukunft!), so wird doch dieser Abfluss durch andersartige Zuflüsse mehr als ausgeglichen: Schon dass die ursprünglichen Prognosen der siebziger und achtziger Jahre, die künftige Datenverarbeitung werde sich in Großrechnern konzentrieren, durch die vielen kleinen Hexenmeister der Informationstechnologie widerlegt worden sind, hat den Staat in seinen Sicherungsaufgaben Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 241 keineswegs entlastet, sondern diese Aufgaben nur komplexer und komplizierter gemacht. Auch die verlässliche Überwachung der privaten Datenverarbeitung – die eine Aufgabe der Gegenwart und der unmittelbaren Zukunft ist – ist (mir) in ausschließlich privater Hand nicht vorstellbar. Und endlich ist auch der natürliche Zwilling des Datenschutzes, das moderne Recht auf Informationsfreiheit (Freedom of Information) nur einzurichten mit der Hilfe eines modernen und einsichtigen Staates. Gerade in Zeiten der Privatisierung und Globalisierung brauchen wir den Staat, auch und wiederum gerade bei der Sicherung der Informationsverarbeitung: als Haltepunkt und Garanten für die Bewahrung des »Öffentlichen« in unserer Gesellschaft, nämlich für die auf Dauer gestellte, verlässliche und notfalls einklagbare Sicherung der essentiellen bürgerlichen Interessen. Informationssicherheit braucht eine langfristig angelegte und breit diskutierte Politik; deren Voraussetzungen kann ich außerhalb des Staates nicht erkennen. Natürlich gibt es, wie immer im Leben, Abgrenzungsprobleme. Die aber erreichen, wie fast immer, nicht das Niveau des Regulierungsproblems, und so ist es auch hier. Wer soll beispielsweise zuständig sein, der Staat oder andere, für die Analyse und Beseitigung von Sicherheitslücken bei ITProdukten (Der Hessische Datenschutzbeauftragte (HDSB), 2000, S. 77 ff.), für die Erstellung »elektronischer Adressbücher« im Bereich der E-Mails (Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, 2001, S. 40 ff.) oder den Schutz von Kundendaten bei Payback Cards? (Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, 2001, S. 6). Diese Abgrenzungen lassen sich einsichtig, wenn auch nicht mit mathematischer Schärfe, treffen, nämlich an der Linie der beiden folgenden Fragen: – was im jeweiligen Handlungsbereich als notwendige Voraussetzung einer gleichmäßigen, gerechten und stabilen Ordnung der Informationssicherheit gelten darf und – welche nichtstaatlichen Wächter anstelle des Staates die Informationssicherheit subsidiär hinreichend gewährleisten können. Auch hier sind Innovation und Phantasie möglich und am Platze; so kann der moderne Staat, statt durch Befehle, beispielsweise durch Handreichungen regulieren, wie etwa durch Mustervereinbarungen, die er selber ausarbeitet, den Privaten vorführt und werbend anbietet. 3.2. Sicherheit gegenüber dem Staat Nach dem Szenario der Risikogesellschaft und der aus ihr wachsenden Kontrollbedürfnisse, wie es hier gezeichnet worden ist, wäre die Frage nach der Rolle des Staates im Bereich der Informationssicherheit unvollständig erfasst, würde nur, wie gerade geschehen, über Sicherheit durch den Staat nachgedacht. Mit gleicher Dringlichkeit ist auch die Sicherheit gegenüber dem Staat ein Thema der Informationssicherheit. Im Gegenüber von Sicherheit durch den Staat und Sicherheit gegenüber Freundesgabe Büllesbach 2002 242 Hassemer dem Staat kommt die Ambivalenz auch semantisch zum Ausdruck, die in der Figur des nährenden und bedrohlichen Leviathan Kontur gewonnen hat und die auch für diesen Vortrag so etwas wie ein roter Faden gewesen ist. Der Staat, so das Bild, ist nicht nur Partner in der Abwehr von Risiken und Verletzungen, er ist nicht nur Baumeister und Helfer bei der Konstruktion von Schutzwällen, welche die Sicherheit der Informationsverarbeitung gewährleisten; er ist bei dieser Verarbeitung auch Spion und Lauscher an der Wand, und er ist es gegen die Interessen derer, für deren Kommunikation er sich interessiert. Ich würde freilich eine nicht ganz flache Wette halten für die Annahme, dass die Veranstalter dieses Sicherheitskongresses auf ein solches Verständnis von »Sicherheit der Informationsverarbeitung« keinen großen Wert legen. Ihnen geht es um die Herstellung von Informationssicherheit durch den Staat, wie sie gerade besprochen worden ist, und ich bin natürlich weit davon entfernt, Sie mit einem Gedanken zu behelligen, der Sie eigentlich gar nicht interessiert, weil Ihre professionellen Fragestellungen ganz anders ausgerichtet sind. Ihrer Profession geht es, an einem Beispiel, eher darum, die Videobeobachtung auf öffentlichen Plätzen sicherzustellen, als darum, vor dieser Beobachtung sicher zu sein (Dazu jetzt ausführlich und mit Beispielen HDSB, 2000, S. 21 ff.); dennoch werden Sie mir sicherlich nicht bestreiten, dass Informationssicherheit nicht nur ein Gegenstand der professionellen Sicherheitstechnologie, sondern auch ein Thema des Rechtsstaats ist. So will ich einen Mittelweg zwischen Wahrheitsliebe und Höflichkeit suchen und eine einzige Überlegung zur Sicherheit gegenüber dem Staat ausführen; sie betrifft den Charakter des modernen Informationsrechts und berührt wiederum die Rolle des Staates heute: Es ist ein Fehler zu meinen, der moderne Staat mit seinen Tendenzen der Deregulierung, Privatisierung, Ökonomisierung und des Wettbewerbs (Dazu jetzt Wallerath, in: JZ 2001, 209 ff.) habe sein Gebiss verloren. Zwar lässt sich nicht leugnen, dass dieser Staat sowohl in seinen Leitbildern als auch in seinen Instrumenten »ziviler« geworden ist, dass die Kategorien von Zwang und Unterwerfung, von Befehl und Gehorsam schrittweise ergänzt – nicht ersetzt! – werden durch Künste der Lenkung und Überredung, die am Ende nicht auf die Knochen zielen, sondern auf Herz und Hirn. Dies aber ändert nichts daran, dass dieser moderne Staat in seiner Überwachungspraxis nicht nachgelassen hat – im Gegenteil: Die wachsenden Sicherheitsbedürfnisse der Bevölkerung sind ein treibender politischer Faktor, sie setzen sich machtvoll durch, und es ist gerade die Informationstechnologie, die diesen Bedürfnissen und ihrer staatlichen Bedienung hilfreich entgegenkommt. Es sind die neuen Mittel der Informationsverarbeitung, die unser Strafverfahren umgestalten, und es ist der moderne Staat, der in dieser Umgestaltung die Erfüllung seiner Schutzpflicht sieht und nicht etwa einen übermäßigen Eingriff in ein gewachsenes Recht oder in den Freiheitsraum seiner Bürger. Das ist kein soft law, mit dem es die Informationsverarbeitung hier zu tun hat; es ist das, was es immer war: Zwangsrecht. Und deshalb ist der Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 243 Aspekt der Sicherheit gegenüber dem Staat ein integraler Bestandteil eines Sicherheitskonzepts in der Informationsverarbeitung. 3.3 Sicherheit jenseits des Staates »Lawrence Lessig, Guru des Internet-Codes aus Harvard, fürchtet eine Entwicklung des Internet zu unerträglicher Kontrolldichte durch eine Koalition ökonomischer und politischer Interessen. Während das Internet in seinen anarchischen Anfängen auf den Prinzipien der Inklusion aller, der Anonymität, Kontrollfreiheit und Heterarchie aufgebaut war, verstärken sich heute die politökonomisch motivierten Tendenzen zur Herausbildung von sogenannten Intranets, also geschlossener Netze, die auf Exklusion, Kontrolle, Hierarchie und strikter Zielorientierung beruhen (Teubner, in: Frankfurter Rundschau v. 21. 10. 2000, S. 20).« Wenn diese Entwicklung richtig beschrieben ist, und ich habe daran keinen Zweifel, so muss, wer über »Informationssicherheit als Staatsaufgabe?« nachdenkt, sich und seinen Zuhörern nicht nur »Information« und »Sicherheit«, sondern auch »Staatsaufgabe« als offenes Problem vorlegen. Die Analyse des Wissenschaftlers Teubner wird vom Manifest des gewählten Europa-Direktors von Icann (Internet Cooperation for Assigned Names and Numbers), Müller-Maguhn, ergänzt. Der will (in: Frankfurter Allgemeine Zeitung v. 17. 10. 2000, S. 49) »den öffentlichen Raum frei von kommerziellen Spielregeln halten, den freien Informationsfluss hüten und den Bits ihre Freiräume geben. Wir wollen lauter Dachgärtlein,« schwärmt er, »wo sie sprießen, gedeihen und sich vermehren können«. Auf seinem Weg zur »Geschenkkultur«, zu Dezentralität und Kontrollfreiheit bleibt das Urheberrecht auf der Strecke, und die Juristen werden kräftig abgewatscht. Teubner, ein Jurist, schwenkt seine Plakate weniger forsch, steuert aber immerhin eine »Verrechtlichung ohne Staat« an – also eine Rechtsbildung in der Hand nichtstaatlicher privater Organisationen und transnationaler Regimes. Hier ist weder Raum noch Zeit, diesen Entwürfen gerecht zu werden. Sie mögen – und sie tun es wohl auch – kräftig übertreiben und zu weit ausgreifen. Eines aber mahnen sie mit Recht an: den Traum einer kontrollfreien, staatsfernen Kommunikation. Sie realisieren, daß dieser Traum ausgeträumt ist, und sie ziehen daraus unterschiedliche Konsequenzen. Ich will diesen Traum hier nicht noch einmal träumen, sondern an ihn nur erinnern und gegenüber den treffenden, aber auch farblosen und entmutigenden Analysen der realen Zustände festhalten, dass Träume für die Entwicklung von Informationstechnologien nicht der schwächste Treibsatz gewesen sind. Nicht als Ersatz solcher Träume, wohl aber als ihre Fortsetzung mit anderen Mitteln, will ich am Ende noch an ein juridisches Prinzip erinnern, das die Staatsferne geradezu im Programm hat. Es ist der Grundsatz der Subsidiarität (Isensee; Rupp). Der ist aus seinem dogmengeschichtlichen Nest der katholischen SozialFreundesgabe Büllesbach 2002 244 Hassemer lehre längst flügge geworden und überbringt – in dem Zuschnitt, wie er für die Informationssicherheit als Staatsaufgabe passt – diese Botschaft: Was die kleinen, näher am Menschen lozierten, Einheiten genausogut oder besser machen können, das soll der Staat ihnen nicht entziehen. Die Verwirklichung dieses Prinzips setzt zweierlei voraus: Aufmerksamkeit und Phantasie. Aufmerksamkeit gegenüber den technischen Entwicklungen und dem sozialen Wandel, weil morgen eine Problemlage entstehen kann, deren Lösungsbedingungen sich gegenüber den heutigen vollständig gewandelt haben. Phantasie, weil die Übersetzung von Strukturen der Problemlösung vom Staat auf die Handlungsbedingungen kleinerer Einheiten gewaltige analytische Leistungen erfordern kann. Kurz: Subsidiarität verwirklicht sich nicht von selbst, sie verlangt Aufwand. Im Bereich der Informationssicherheit freilich bietet sie sich dringend an, und ich behaupte, dass sie auf diesem Felde, über das derzeit Erreichte hinaus, noch fröhliche Urständ feiern wird. Es geht um die Herstellung einer Informationssicherheit »von unten«, es geht um Dezentralität, um die Ersetzung von deduktiven Kontrollen durch induktive Entwicklungen und vor allem um die Förderung der Möglichkeiten autonomen Handelns der Benutzer dieser Technologien (Ansätze eines solchen Konzepts finden sich schon in Hassemer, S. 20ff., 60 ff.). Dass Sicherheitsprobleme sich zu einem Gutteil nicht durch Sicherheitsverwaltung, sondern durch technische Vorkehrungen selber lösen lassen, ist ein Beispiel (Die digitale Signatur ist ein Beispiel für das Zusammenwirken beider; vgl. jüngst Neue Zürcher Zeitung v. 18. 1. 2001, Frankfurter Allgemeine Zeitung v. 21. 2. 2001; Hoffmann, S.12 ff.). Dass die Kontrolle sowohl krimineller als auch sonst unerwünschter Angebote im Internet sich nicht allein durch exekutive und gesetzliche Vorkehrungen durchführen lässt, sondern darauf setzen muss, dass die Menschen kundig und bereit sind, für ihre eigenen informationellen Interessen zu sorgen, ist ein anderes (Richtig Dembowski, Das Paradox des elektronischen Handels: Sicherheit und Internet widersprechen sich. Rasantes Wachstum des Computernetzwerks weckt Interesse von Wirtschaft und Kriminellen. Technisches Verständnis und Vorsicht sind der beste Schutz). Beide werben für ein Sicherheitsdenken, das nicht schon im ersten Zugriff auf den Staat setzt, sondern auslotet, ob ein konkretes Problem näher an den betroffenen Menschen besser aufgehoben ist. * Der Text ist die um einige Fußnoten erweiterte Fassung eines Vortrags vor dem 7. Deutschen Sicherheitskonkress des Bundesamts für Sicherheit in der Informationstechnik aus dem Mai 2001. Ich widme ihn dem Freund und zeitweisen Kollegen Büllesbach, der mich zu diesem Vortrag nachdrücklich aufgefordert hat. Literatur Albers Marion, Die Determination polizeilicher Tätigkeit in den Bereichen der Straftatenverhütung und der Verfolgungsvorsorge, 2001. Freundesgabe Büllesbach 2002 Staat, Sicherheit und Information 245 Albrecht, P.-A., Prävention als problematische Zielbestimmung im Kriminaljustizsystem, in KritV 1986, 43 ff.Dörmann/Remmers, Sicherheitsgefühl und Kriminalitätsbewertung, 2000. Denninger, Der gebändigte Leviathan, 1990. Dembowski, Das Paradox des elektronischen Handels: Sicherheit und Internet widersprechen sich, in: Frankfurter Rundschau v. 4. 11. 2000, S. 11. Der Hessische Datenschutzbeauftragte (HDSB), 29. Tätigkeitsbericht, 2000, S. 77 ff. Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, Datenschutzbericht 2001. Frisch, Prognoseentscheidungen im Strafrecht. Zur normativen Relevanz empirischen Wissens und zur Entscheidung bei Nichtwissen, 1983. Grimm, Verfassungsrechtliche Anmerkungen zum Thema Prävention, in KritV 1986, 38 ff. Hassemer, Freiheitliches Strafrecht, 2001. Hassemer, Datenschutz und Datenverarbeitung heute, 1995. Hassemer, Strafen im Rechtsstaat, 2000. Herzog F., Gesellschaftliche Unsicherheit und strafrechtliche Daseinsvorsorge. Studien zur Vorverlegung des Strafrechtsschutzes in den Gefährdungsbereich, 1991. Hoffmann, Die Entwicklung des Internet-Rechts, in: NJW 2001, Beilage zu H. 14, 12 ff. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, 1983. Isensee, Subsidiaritätsprinzip und Verfassung, 1968; Jescheck/Weigend, Lehrbuch des Strafrechts. Allgemeiner Teil, 5. Aufl. 1996. Kaiser G., Kriminologie, 10. Aufl.,1997. Kaufmann Franz-Xaver, Normen und Institutionen als Mittel zur Bewältigung von Unsicherheit: Die Sicht der Soziologie, in: Gesellschaft und Unsicherheit, 1987. Köhler, Strafrecht. Allgemeiner Teil, 1997. Müller-Maguhn, Meine Regierungserklärung. Auch an die Freunde des Buches: Ein Netz wider das geistige Eigentum, in: Frankfurter Allgemeine Zeitung v. 17. 10. 2000, S. 49. Prittwitz, Strafrecht und Risiko. Untersuchungen zur Krise von Strafrecht und Kriminalpolitik in der Risikogesellschaft, 1993. Rupp H. H., Die Unterscheidung von Staat und Gesellschaft, in: Isensee/Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. I: Grundlagen von Staat und Verfassung, 2. Aufl. (1995). Schmidt J ., Prävention als Zielbestimmung im Zivilrecht, in KritV 1986, 83 ff. Teubner, Das Recht der globalen Zivilgesellschaft. Spontan und doch organisiert – zur Verfassung gesellschaftlicher Aktivitäten auf Weltebene, in: Frankfurter Rundschau v. 21. 10. 2000, S. 20. Wallerath, Der ökonomisierte Staat. Zum Wettstreit zwischen juridisch-politischem und ökonomischem Paradigma, in: JZ 2001, 209ff. Freundesgabe Büllesbach 2002 246 Freundesgabe Büllesbach 2002 247 Michael Hange Wirksamkeit von Regelungen und Empfehlungen in der IT-Sicherheit Durchgreifende Umwälzungen in der Informationstechnologie haben auch qualitativ neuartige Bedrohungen der IT-Sicherheit zur Folge und offenbaren technologische Schwachstellen von neuer Komplexität. Das Internet und die Mobilkommunikation haben in den letzten zehn Jahren die Entwicklung der Informationstechnik maßgeblich geprägt. Mit der rasanten Ausbreitung hat das Internet als Plattform erst übergreifende Konzepte für digitale Dienstleistungen des E-Business und E-Government ermöglicht. Trotz inzwischen zurückhaltender Erwartungen bei den Internet-Unternehmen hat das Internet bereits heute zu einer Veränderung in Wirtschaft und Verwaltung geführt. Künftig werden die digitalen Anwendungen und Dienstleistungen selbst die treibenden Kräfte der Fortentwicklung des Internets sein. In vielen Staaten sind Programme aufgelegt, um E-Government im Zeitraum von 2003 bis 2005 in die Praxis umzusetzen. Mit der Initiative BundOnline 2005 verfolgt die Bundesregierung die Zielsetzung, bis 2005 durch EGovernment für den Bürger mehr und qualitativ bessere Dienstleistungen online bereitzustellen und das Verwaltungshandeln effizienter zu gestalten. Entscheidender Faktor für eine breite Akzeptanz der angebotenen digitalen Dienstleistungen wird das Vertrauen der Bürger in die IT-Sicherheit des Internets sein – insbesondere der Bürger, die für die Nutzung der Onlinedienste noch gewonnen werden müssen. Auch eine erfolgreiche Überwindung der »digitalen Spaltung« in Nutzer und Nicht-Nutzer wird maßgeblich davon abhängen, vertrauenswürdige sowie sichere rechtliche und technologische Rahmenbedingungen zu schaffen. Wirkung von Regelungen und Empfehlungen auf die Verbesserung der IT-Sicherheit Nachfolgend werden einige ausgewählte Regelungsbereiche und Empfehlungen vorgestellt, die im Kontext von E-Government eine Rolle spielen. Beispiele für Regelungen im Bereich IT-Sicherheit – Bundesdatenschutzgesetz (BDSG) – Signaturgesetz (SigG) Beispiele für Empfehlungen im Bereich IT-Sicherheit – IT-Grundschutzhandbuch – E-Government-Handbuch Beispiele für Selbstregulierung durch die Wirtschaft im Bereich IT-Sicherheit – Interoperabilitätsstandard ISIS-MTT für elektronische Signaturen – ISO-Standard ITSEC/CC für die Sicherheitszertifizierung von IT-Produkten. Freundesgabe Büllesbach 2002 248 Hange Die Aufzählung ist beispielhaft, denn es fehlen u.a. bereichsspezifische Regelungen für das E-Government, die teilweise noch nicht verabschiedet sind sowie u.a. das Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr (EGG), das zum Ziel hat, einen modernen und verlässlichen Rechtsrahmen für den elektronischen Geschäftsverkehr zu schaffen. Für die Bewertung der Wirksamkeit von Regelungen und Empfehlungen in der IT-Sicherheit können folgende Kriterien zugrunde gelegt werden: – Anwendbarkeit auch bei Technikveränderung – insbesondere keine Behinderung des Fortschritts der Technik, – Überprüfbarkeit der Einhaltung; dies bedeutet, dass eine Regelung oder Empfehlung eindeutig und verständlich formuliert sein muss, – positiver Aufwand-Nutzen-Effekt bei Umsetzung für den Betroffenen und – Schaffen eines allgemeinen Vertrauensvorteils. Bisherige Erfahrungen 1. Im Bundesdatenschutzgesetz aus den siebziger Jahren waren in §9 die so genannten zehn Gebote enthalten, in denen die technisch-organisatorischen Regelungen zur Datensicherheit (z. B. Speicherkontrolle) beschrieben wurden. Die Regelungen orientierten sich weitgehend an der Arbeitsweise in Großrechenzentren – d.h. der Rechnerwelt vor ca. 25 Jahren. Mit Einführung der Client-Server Architekturen in den achtziger Jahren entsprachen die in § 9 beschriebenen Sicherheitsmaßnahmen nicht mehr dem Stand der IT-Sicherheit. Dies ändert aber nichts an der Tatsache, dass das BDSG in den letzten 25 Jahren nachhaltig zu einem gesteigerten Datenschutzbewusstsein bei den Bürgern geführt und auch in der Praxis zu einer Verbesserung der Vertrauensbasis für den Einsatz von IT beigetragen hat. Mit Novellierung des BDSG im Jahre 2001 ist auf eine technikbezogene Spezifizierung der Sicherheits- und Kontrollmaßnahmen verzichtet worden. 2. Das 1997 verabschiedete Signaturgesetz (SigG) sah in einer der ersten Fassungen neben der Signaturverordnung einen ausführlichen Katalog von Sicherheitsmaßnahmen vor, in dem konkret die Umsetzung der rechtlichen in technische Anforderungen beschrieben wurde. Insbesondere wurden in dem 300-seitigen Maßnahmenkatalog, der mit Wirtschaft und Wissenschaft ausführlich erörtert wurde, die hohen Sicherheitsanforderungen an die eingesetzten Sicherheitskomponenten (z. B. Chipkarten) detailliert beschrieben. Obwohl die Wirtschaft auf der Ebene der Experten an dem Maßnahmenkatalog aktiv mitgearbeitet hatte und die Qualität der aufgezeigten Sicherheitsmaßnahmen allgemein anerkannt wurde, lehnten im Anhörungsverfahren die betroffenen Wirtschaftsverbände den Katalog weitgehend ab. Es wurde die Auffassung vertreten, dass durch die Beschreibung der für Sicherheitsmaßnahmen geeigneten Freundesgabe Büllesbach 2002 Wirksamkeit von Regelungen und Empfehlungen in der IT-Sicherheit 249 Technologien andere mögliche Lösungen benachteiligt und technische Innovation behindert würden. 3. Es wurde daraufhin entschieden, den Maßnahmenkatalog als Handbuch des BSI mit Empfehlungscharakter herauszugeben. In dieser Form hat er sich sowohl bei der Entwicklung von Sicherheitsprodukten wie auch bei der Errichtung von Trust-Centern als nützliche Orientierungshilfe bewährt. 4. Anfang der neunziger Jahre wurde der Bundesverwaltung die Durchführung von Risikoanalysen und die Erstellung von Sicherheitskonzepten in der Bundesverwaltung verpflichtend vorgegeben. Von jeder Bundesbehörde mussten bei IT-Vorhaben auch IT-Sicherheitskonzepte zur Genehmigung der Haushaltsmittel vorgelegt werden. Die Erstellung der Sicherheitskonzepte mit aufwändigen Bedrohungs-, Schwachstellen-, und Risikoanalysen orientierte sich an dem IT-Sicherheits-Handbuch. Das Verfahren der Risikoanalysen führte vielfach zu umfangreichen Untersuchungen, deren Ergebnisse in keinem Verhältnis zu den Aufwänden standen. Das IT-Sicherheits-Handbuch hat sich trotz Empfehlung in der Bundesverwaltung als Standardwerk in der Breite nicht durchsetzen können. 5. Das alternativ im BSI entwickelte IT-Grundschutzhandbuch wurde daher bei der Einführung zunächst nur als Hilfsmittel zur Selbsthilfe den Verwaltungen und Wirtschaftsunternehmen empfohlen. Entscheidendes Kriterium für die Akzeptanz der im Grundschutz-Handbuch beschriebenen Vorgehensweise waren die Qualität der erzielten Ergebnisse sowie der positive Aufwand-Nutzen-Effekt des Verfahrens. Mit Bewährung des Grundschutz-Handbuches in der Praxis wurde es in einigen Verwaltungen und Wirtschaftsunternehmen in Selbstregulierung als verbindliches Standardwerk festgelegt. Regelungen und Empfehlungen im E-Government Die von der Bundesregierung gestartete Initiative BundOnline 2005 hat das Ziel, bis zum Jahr 2005 alle internetfähigen Dienstleistungen der Bundesverwaltung online anzubieten. Rahmenbedingungen für die Umsetzung von IT-Sicherheit im E-Government – Bei der Kommunikation und bei Transaktionen über das Internet sind Rechtssicherheit und der Schutz der Verbraucherinteressen sicherzustellen. Hierzu bedarf es rechtlicher Rahmenbedingungen. Daneben sind bereichsspezifisch zusätzliche Regelungen zu treffen. – Die Interoperabilität von Sicherheitstechnologien im Kommunikationsbereich ist zwingende Voraussetzung, um mit E-Government alle Bürger erreichen zu können. In Selbstregulierung bedarf es zwischen den betroffenen Hersteller- und Anwendergruppen der Festlegung interoperabler Freundesgabe Büllesbach 2002 250 Hange Schnittstellenspezifikationen. Darüber hinaus würde auch die Einführung von Sicherheitszertifikaten das erreichte Sicherheitsniveau von OnlineDienstleistungen transparenter machen. In Selbstregulierung könnten die Internetdienstleister über Sicherheitszertifikate das Vertrauen der Verbraucher in das Internet erhöhen. – Im Bereich der Wirtschaft und ebenso aufgrund der föderalen Struktur in den deutschen Verwaltungen haben Empfehlungen zur IT-Sicherheit einen hohen Durchdringungs- und Verbreitungsgrad. Ursache hierfür sind die Praxisnähe, der Zeitfaktor und die formale Unverbindlichkeit von Empfehlungen. Ein geschicktes Marketing durch die Implementation in Pilotverfahren, durch das Publizieren von beispielhaften Lösungen (Best Practise) sowie durch gemeinsame Initiativen von Wirtschaft und Verwaltung (Public Private Partnership) können Empfehlungen eine hohe Verbreitung und breite Akzeptanz verschaffen. Aktionsplan zur Umsetzung von BundOnline 2005 Regulativer Rahmen – SigG und BDSG wurden im Jahre 2001 novelliert. Aufgrund der Gleichstellung der elektronischen mit der manuellen Unterschrift müssen in Folge auch weitere Gesetze und Verordnungen novelliert werden. Moderne Sicherheitstechnologien (z. B. Signaturverfahren), versehen mit Sicherheitszertifikaten bzw. -bestätigungen sollen in der Umsetzung den Schutz der Internetnutzer sowie den Anspruch an Rechtssicherheit – insbesondere bei Transaktionen über das Netz – gewährleisten. Selbstregulierung – Im Online-Sektor sollte Selbstregulierung die Gesetzgebung ergänzen. So bietet sich u.a. die Festlegung von Schnittstellen des elektronischen Geschäftsverkehrs zwischen Wirtschaft und Verwaltung für Vereinbarungen unterhalb gesetzlicher Regelungen an. Der Aufbau einer Public Key Infrastruktur für elektronische Signaturen und Verschlüsselung ist eine der zentralen Herausforderungen in der Realisierung des E-Governments, um innerhalb der Verwaltung sowie mit der Wirtschaft und den Bürgern formgebundene und inhaltlich sensitive Nachrichten sicher zu kommunizieren. Zwingende Voraussetzung für die sichere Kommunikation über das Internet ist die Interoperabilität der eingesetzten Sicherheitsprodukte und -systeme. Die Definition von entsprechenden Interoperabilitätsstandards wie beispielsweise ISIS-MTT für den Bereich der Elektronischen Signaturen kann nicht von staatlichen Stellen vorgegeben werden, sondern obliegt den einschlägigen Herstellerverbänden. Die Selbstregulierung der Interoperabilität durch die Hersteller sichert den Wettbewerb der Produkte auf dem Markt sowie deren innovative Weiterentwicklung für die Zukunft. Freundesgabe Büllesbach 2002 Wirksamkeit von Regelungen und Empfehlungen in der IT-Sicherheit 251 – Einen Beitrag zur Vertrauensbildung im Internet kann auch die Einführung von Sicherheitszertifikaten für Internetangebote darstellen. Analog zu dem Ansatz von Gütesiegeln (Trustmarks), die Qualitätsaussagen von Internetangeboten auf der Grundlage klar definierter Qualitätskriterien bestätigen, können auch Sicherheitszertifikate das erreichte Sicherheitsniveau im Internet transparenter machen und so das Vertrauen auf Seiten des Bürgers erhöhen. Hierzu hat das BSI im Frühjahr 2002 auf Basis des IT-Grundschutz-Handbuches ein Qualifizierungs- und Zertifizierungsschema veröffentlicht. Damit können grundsätzlich auch für Internetangebote Sicherheitszertifikate vergeben werden. Es wird angestrebt, gemeinsam mit den Dienstleistern im Bereich der Internet-Wirtschaft auf der Basis des IT-Grundschutzes und der Common Criteria so genannte Schutzprofile zu entwickeln, die das Sicherheitsniveau für die Vergabe von Sicherheitszertifikaten definieren. Die Entscheidung, ein Zertifizierungsverfahren in Selbstverpflichtung einzuführen, bleibt den Internetserviceprovidern in Eigenverantwortung überlassen. Empfehlungen – Zur Unterstützung des Programms BundOnline 2005 veröffentlicht das BSI ein E-Government-Handbuch. Das Handbuch präsentiert verschiedene Themen als eigenständige Module, ergänzt um nützliche Werkzeuge. Die gesammelten Empfehlungen aus der Beratungspraxis sollen nicht reglementieren, sondern werden als arbeitsökonomisches Hilfsmittel angeboten. Sie sollen den Behörden bei der Einführung von internetbasierten Verwaltungsdienstleistungen unterstützen und insbesondere Empfehlungen und Hinweise für die Implementierung der erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen geben. Das Handbuch bietet auch eine Plattform für die Darstellung von Modellprojekten als Best Practise. Beispiele für E-Government-Modellprojekte sind die Projekte E-Vergabe und Digitaler Dienstausweis. – Public private Partnerships sind geeignete Instrumente, um die Nutzung und Akzeptanz des Internets in Gesellschaft und Verwaltung voranzutreiben. Ein Beispiel für das gemeinsame Engagement von Staat und Wirtschaft ist die Initiative D21, die inzwischen von mehr als 130 Unternehmen unterstützt wird. Gemeinsam mit der Bundesregierung werden hier Konzepte für den Übergang in die Informationsgesellschaft erarbeitet und umgesetzt. In der Arbeitsgruppe 5 »Sicherheit im Internet« der Initiative D21 wurden zu diesem Zweck vier Projektgruppen mit Experten aus Wirtschaft und Verwaltung eingerichtet. Die in den Projektgruppen erzielten Arbeitsergebnisse werden als Empfehlungen im Rahmen der Informationskampagnen von D21 publiziert. Im Einzelnen haben die Projektgruppen folgende Empfehlungen erarbeitet: – Zum Aufbau so genannter Computer Emergency Response Teams, deren Aufgabe es ist, auf Schwachstellen hinzuweisen und vor Angriffen aus dem Internet zu warnen, Freundesgabe Büllesbach 2002 252 Hange – zum Aufbau und Ausbau von übergreifenden Public-Key-Infrastrukturen, die gemeinsam von Wirtschaft und Verwaltung genutzt werden können, – zum Einsatz von Chipkarten als Träger von Sicherheitsmechanismen und – zur Anwendung geeigneter IT-Sicherheitskriterien für die Erstellung von Sicherheitskonzepten; hierzu wurde ein Leitfaden erstellt. Mit den Sicherheitsempfehlungen sollen nicht nur Spezialisten, sondern auch Führungskräfte angesprochen werden. Ausgehend von Umfragen, die besagen, dass drei Viertel aller deutschen Unternehmen ihre E-BusinessStrategie durch mangelnde IT-Sicherheit bedroht sehen, muss über Aufklärung und Sensibilisierung ein Bewusstsein dafür gestärkt werden, dass Sicherheitslösungen keinen Luxus, sondern einen Erfolgsfaktor bei der Einführung digitaler Dienstleistungen darstellen. Schlussfolgerung: Aus den oben dargestellten Beispielen lassen sich einige Grundprinzipien ableiten, an welchen Stellen Bürger, Unternehmen bzw. Behörden Regelungen für die IT-Sicherheit benötigen, wo das Instrument der Selbstregulierung besser greift und wo Empfehlungen besser geeignet erscheinen: – Gesetzliche Regelungen sind erforderlich für den Rechtsrahmen zum Schutz der Internetnutzer sowie zur Rechtssicherheit von elektronischen Transaktionen. – Rechtliche Regelungen sollten technikneutral und entwicklungsoffen formuliert werden. – Initiativen zur Selbstregulierung des Internets sind in den Bereichen sinnvoll, in denen staatliche Regulierung nicht notwendig oder nicht möglich ist. So kann die Einführung von Sicherheitszertifikaten für Internetangebote (analog zu Gütesiegeln in Bezug auf die Qualität von Internetangeboten) ein Weg sein, über den das Vertrauen der Bürger in die Sicherheit von Online-Dienstleistungen nachhaltig erhöht werden kann. – Empfehlungen sind ein sehr erfolgversprechender Ansatz zur Erhöhung der IT-Sicherheit, wenn es um die Festlegung von Standards, den Aufbau von Sicherheitsinfrastrukturen (z. B. CERT) sowie um die Implementation von IT-Sicherheit in Anwendungen insbesondere unter engen Zeitvorgaben geht. Public Private Partnerships sind geeignete Instrumente, um Empfehlungen eine breite Akzeptanz zu verschaffen und somit das Vertrauen in die sichere Nutzung des Internets in Gesellschaft und Verwaltung zu fördern. Freundesgabe Büllesbach 2002 253 5. GLOBALISIERUNG UND ENTGRENZUNG DES RECHTS Joachim Rieß Baustellen globaler Architekturen des Rechts Die Entgrenzung rechtlicher Regulierung Die Globalisierung ist in vielen Lebensbereichen der Industriegesellschaften greifbar. So eingängig der Globalisierungsbegriff erscheint, so diffus und unübersichtlich wird er in der konkreten Analyse. Ulrich Beck charakterisiert die Dimensionen der Globalisierung aus soziologischer Sicht folgendermaßen: 1. Geographische Ausdehnung und zunehmende Interaktionsdichte des internationalen Handels, die globale Vernetzung der Finanzmärkte und der Machtzuwachs transnationaler Konzerne, 2. die informations- und kommunikationstechnologische Dauerrevolution, 3. die universal durchgesetzten Menschenrechte, 4. die Bilderströme der globalen Kulturindustrien, 5. die postinternationale, polyzentrische Weltpolitik – neben den Regierungen gibt es an Macht und Zahl zunehmende transnationale Akteure (Konzerne, Nicht-Regierungsorganisationen, Vereinte Nationen), 6. die Fragen der globalen Armut, 7. der globalen Umweltzerstörung und 8. transkultureller Konflikte am Ort. (Beck, S. 29) Diesen Umbruchprozessen muss sich das Recht stellen und es ist ihnen zugleich fundamental unterworfen. Die nationalstaatlich geprägten Rechtskulturen geraten immer mehr in eine globale Vernetzung. Die Beiträge im folgenden Kapitel markieren zum einen derartige Bruchstellen des Rechts vor dem Hintergrund der Globalisierung und stellen zum anderen Konzepte auf verschiedenen Rechtsgebieten vor, die diese Fragestellung aufgreifen. Diese Darstellung kann nur eine unvollständige Aufnahme sein, die sich zusammenfügt aus dem fachlichen Hintergrund der Autoren, die mit Prof. Büllesbach die fachliche und kollegiale Diskussion um diese Veränderungsprozesse in besonderer Weise verbindet. Verlust der nationalstaatlichen Souveränität Es lassen sich mehrere Fäden aufnehmen. Einen Teil der Beiträge verbindet der rechtskulturelle Umgang mit einem globalen Anspruch auf Menschenrechte und deren Implementierung in internationale Systeme und Regulierungssysteme. Diese Beiträge verbindet die Frage der Souveränität. Das Territorialprinzip, der Bezugsrahmen nationalstaatlicher Souveränität und demokratischer Legitimation wird durch Globalisierung entgrenzt. ZunehFreundesgabe Büllesbach 2002 254 Rieß mende multinationale Konfliktinterventionen erfordern eine Lösung der Frage internationaler gerichtlicher Sanktion bei Verbrechen gegen die Menschlichkeit durch die Konfliktparteien. Ein weiterer Faden lässt sich zu einer Vielzahl neuer Regelungstatbestände aufnehmen, die aus der »Dauerrevolution der Informations- und Kommunikationstechnologien« resultieren. Viele Staaten sehen sich gezwungen, in ihre Rechtssysteme neue Regelungstatbestände wie Privacy Rights einzuführen, die sich sowohl auf den Schutz der Betroffenen als auch auf die Spielregeln im Umgang mit elektronischen Informationen beziehen. Dabei stellen sich Fragen der Rechtskultur, des anzuwendenden Rechts und der Rechtsdurchsetzung angesichts der Globalisierung der Märkte bis zum Verbraucher. Über das Internet erhält der Nutzer direkten Zugang zu Informations- und Kommunikationsangeboten und Märkten, auf dem andere Gesetze und Regeln gelten als in dem territorialen Umfeld, in dem der Nutzer beheimatet ist. Der Staat kann hier seinen Bürgern kaum noch Schutz bieten. Bruchstellen, an denen ebenfalls unterschiedliche Rechtskulturen aufeinandertreffen. Europa erlebt diesen Transformationsprozess in der Europäischen Union in einem historisch beachtenswerten Projekt der politischen und rechtlichen Steuerung, in der die nationale Souveränität von den Mitgliedstaaten schrittweise aufgegeben wird. Trotz eines bereits eingeübten rechtlichen Instrumentariums innerhalb der Mitgliedstaaten hat Europa die Frage einer neuen Verortung der Souveränität noch nicht beantwortet. Der Verlust nationalstaatlicher Souveränität ist keine europäische Fragestellung. Sie stellt sich weltweit angesichts der fundamentalen Globalisierungsprozesse. Multinationale Abkommen lassen sich üblicherweise nur langwierig und schwerfällig händeln und erscheinen angesichts der Geschwindigkeit der technik- und marktgetriebenen Veränderungsprozesse zu schwerfällig. Transnationale Akteure als Handelnde einer globalen Öffentlichkeit? Unterhalb nationalstaatlicher Vereinbarungen entwickeln sich neue transnationale Akteure und neue Regelungsinstrumente wie: Selbstverpflichtungen der Wirtschaft, Codes of Conduct von Unternehmen und Branchen, Zertifizierungsverfahren, Alternative Streitschlichtungsverfahren. In der »Initiative Global Business Dialog (GBD)« arbeiten Unternehmen, die global tätig sind, an dem Thema E-Commerce zusammen. Als Ergebnis haben sie eine Reihe von Dokumenten zu verschiedenen Themen verabschiedet. Diese Dokumente verstehen sich als Anregung – sowohl an betroffene Unternehmen als auch an die Gesetzgeber – zur Gestaltung der Rahmenbedingungen des E-Commerce. Die Dokumente beziehen sich auf Alternative Dispute Resolution, Summary of Recommendations, Affecting Consumer Confidence, Cyber Security and Cyber Crime, Digital Bridges Task Force, Intellectual Property Rights – Model IPR-Specific Notice and Takedown Procedures, Protection of Personal Data, Taxation, Trustmark und Trade. Freundesgabe Büllesbach 2002 Globalisierung: Baustellen globaler Architekturen des Rechts 255 Solche Initiativen erfolgen auch im Rahmen der OECD und UNCITRAL mit dem Ansatz, weltweit ähnliche Prinzipien zu etablieren. Dem liegt die Hoffnung zugrunde, dass solche Prinzipien, die sich zunächst interkulturell entwickeln, letztendlich auf die legislativen Prozesse in den verschiedenen Nationalstaaten rückwirken oder/und in Selbstregulierungsverfahren einfließen. Zu den Akteuren der globalen Öffentlichkeit gehören natürlich auch die vielen kritischen NGOs zur Globalisierungs-, Umwelt- und Menschrechtspolitik, die gewissermaßen die globale Opposition stellen. Selbstregulierung, eine neue Form des kategorischen Imperativs in globalen Gesellschaften? Selbstregulierungsinstrumente werden bereits umfangreich auf dem Markt eingesetzt. Viele Online-Angebote enthalten Privacy- und Consumer Confidence Statements. Weitergehend geben sich einige Unternehmen Codes of Conduct, mit denen sie sich als Unternehmen verpflichten, bestimmte Verhaltensregeln im Wege der Selbstverpflichtung einzuhalten. Diese Instrumente erlauben flexible, sachnahe Regelungen, beruhen auf dem Prinzip der Selbstbindung und sind nicht territorial beschränkt. Auf diesem Wege könnte es möglich sein, Wertmaßstäbe, Prinzipien, Standards und Verfahren festzulegen, die eine globale Transparenz und Orientierung bieten. Es bleibt die Frage der Legitimität und der Durchsetzbarkeit. Die Geeignetheit derartiger Instrumente wird sich daran beurteilen lassen müssen, ob sie für die Betroffenen transparent, vertrauenswürdig, kontrollierbar und durchsetzbar sind. Die Vertrauenswürdigkeit und Durchsetzbarkeit kann je nach Regulierungsphilosophie durch mehr oder weniger staatlich oder durch den Markt regulierte Verfahren erreicht werden. Die Vergabe von Qualitätszertifikaten kann staatlich reguliert oder im Wettbewerb erfolgen. Hier wird es auf Beteiligungsformen ankommen, die durch die Marktbeteiligten legitimiert und akzeptiert werden. Generalklauseln zur Selbstregulierung – erste Bausteine entgrenzten Rechts ? Selbstregulierungsverfahren werden bereits vom Gesetzgeber in gesetzliche Regulierungen generalklauselartig incorporiert. So sehen Art. 16 des E-Commerce-Gesetzes und Art. 27 der EG-Datenschutzrichtlinie vor, dass Branchen und Verbände ihren Bereich selbst regulieren können. Diese Codes of Conduct können die Akteure von der EU-Kommission auf ihre Entsprechung mit den EU-Richtlinien hin überprüfen lassen, um dann eine Art offizielle Anerkennung zu erhalten. Hier wird ein neues gesetzliches Instrument eingeführt. Die einzelnen Bereiche sollen ihren Verhaltenskodex selbst regulieren und können eine Quasilegitimation durch die EU-Kommission erhalten. Die niederländiFreundesgabe Büllesbach 2002 256 Rieß sche Gesetzgebung kennt seit längerem Gesetze, die Bedingungen für zukünftige gesetzliche Regulierungen setzen, falls die Unternehmen innerhalb einer gesetzten Frist nicht Verhaltens-Codices etablieren. Das im deutschen Datenschutzgesetz vorgesehene freiwillige Datenschutzaudit, dass im Gutachten des Bundesministeriums des Innern zur »Modernisierung des Datenschutzrechtes« weiterentwickelt wird, ist dagegen mehr eine Selbstregulierung der staatlichen Aufsicht. Basierend auf Art. 25 der EU-Richtlinie wurden zwischenstaatlich garantierte Verhaltensregeln, wie z.B. die »Safe Harbour Principles« zwischen den USA und der Europäischen Union vereinbart. Es wurden Datenschutzprinzipien vereinbart, denen sich jene Firmen unterwerfen können, die Daten aus Europa erhalten. Das Department of Commerce führt eine Art Zertifizierung durch und nimmt die Aufsicht wahr. Dies könnten Bausteine für die Verzahnung traditioneller territorial gebundenen Rechts mit globalen, d. h. nicht territorial gebundenen Selbstverpflichtungen von Verbänden, multinationalen Unternehmen oder Institutionen sein, die sich als entgrenztes Recht bezeichnen lassen. Angesichts des Souveränitätsverlustes des Nationalstaates scheint es lohnend, derartige nicht territorial gebundene Instrumente weiterzuentwickeln und kritisch zu diskutieren. Literatur: Ulrich Beck, Was ist Globalisierung, Frankfurt a. Main 1997. Freundesgabe Büllesbach 2002 257 Otfried Höffe Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung Philosophische Bausteine für eine interkulturelle Begründung 1. Die neue Aufgabe Der Datenschutz ist ein Beispiel für die Aufgabe, die sich im Zeitalter der Globalisierung generell stellt: Ein globaler Handlungsbedarf braucht global geltende Regeln und für sie eine global gültige, deshalb interkulturell überzeugende Rechtfertigung. Der globale Handlungsbedarf herrscht in zwei Dimensionen. Einerseits stellen sich die Fragen so gut wie allerorten in der Welt. Denn ob Kranken- oder Lebensversicherungen, Arbeitsplätze, Wohnungssuche, Bankgeschäfte, Arztund Krankenhausbesuche, Schulen und Hochschulen – in immer mehr Lebensbereichen werden in immer mehr Ländern persönliche Daten erfragt, teils unmittelbar, teils über Auskünfte bei Dritten. Andererseits werden die Daten immer mehr mittels jener neuen Techniken, allen voran den Computern, erfasst, die an das elektronische Weltnetz (»Internet«) angeschlossen sind, so dass die Daten nicht an ihrem ursprünglichen Ort verbleiben. Die weltweit abgefragten Daten werden auch weltweit verfügbar, und dieses häufig ohne die Zustimmung der Betroffenen. Und wegen der wachsenden Internationalität der menschlichen Kooperation, übrigens nicht nur im Bereich der Wirtschaft, sondern auch der Wissenschaft, der Kultur und des Tourismus, leider auch der organisierten Großkriminalität und des Terrorismus, wird über das weltweit Verfügbare in wachsendem Maße tatsächlich weltweit verfügt. Dazu kommt der Umstand, dass die Globalisierung nicht bloß der traditionellen Kriminalität eine globale Ausweitung erlaubt. Dank des elektronischen Weltnetzes drohen auch neuartige Formen von Missbrauch und Kriminalität. Beiden Seiten des globalen und nicht bloß ökonomischen »Marktes«, sowohl den Geschäftsleuten, Anbietern und Ämtern als auch den Kunden, Arbeitnehmern, Bürgern und den Patienten, droht eine Unterhöhlung ihrer Rechte: Weil digital gespeicherte Werke ohne jeden Qualitätsverlust beliebig kopiert, andernorts eingespeist und abgerufen, überdies mühelos verändert und mit anderen Werken kombiniert werden können, ist geistiges Eigentum gefährdet. Ferner können Hacker, Spione, Erpresser und andere »gierige Datensammler« (einschließlich der Regierungen), Informationen stehlen, missbrauchen und manipulieren. Die Folgen sind offensichtlich: Der Datenschutz wird gefährdet, im Betrug bei elektronischen Bankgeschäften zusätzlich materielles Eigentum. Weiterhin entgehen den Finanzministerien Zölle und Umgangssteuern. Nicht zuletzt drohen bei der – zweifellos notwendigen! – Verbrechens- und Terrorismusbekämpfung staatliche Überreaktionen. Diese schränken den Daten- und Persönlichkeitsschutz durch jene Gewalten ungebührlich ein, die doch für den Rechtsschutz, einschließlich Datenschutz geschaffen sind. Die fälligen Freundesgabe Büllesbach 2002 258 Höffe Güterabwägungen können im Einzelfall schwierig sein, gewiss. Weil die liberale Demokratie um der Menschen und ihrer Freiheit willen besteht, trägt sie aber bei jeder Einschränkung von Rechten eine hohe Beweislast. Offensichtlich braucht es hier einen neuen, nicht mehr auf Landesgrenzen festgelegten, vielmehr internationalen, sogar globalen Rechtsschutz. Dafür ist jene globale Rechtsordnung, die auf Dauer einzurichten ist, eine demokratische Weltrechtsordnung bzw. Weltrepublik (vgl. Höffe 2002), nur subsidiär, gleichwohl obligatorisch verantwortlich. Subsidiär ist ihre Verantwortung, da der Rechtsschutz primär den Einzelstaaten obliegt und diese die grenzüberschreitenden Aufgaben durch zwischenstaatliche Absprachen lösen können. Bei ihnen droht aber die zu Steueroasen analoge Gefahr, dass sich gewisse Gemeinwesen, um sich Vorteile zu verschaffen, entweder den Absprachen gar nicht beitreten oder aber deren Einhaltung nicht ernst nehmen. Nicht von vornherein, aber sobald und soweit dies geschieht, eben subsidiär, ist die globale Rechtsordnung gefordert. Weil sich die digitale Welt für die Gangart von Regierungen zu schnell entwickelt, ist eine alternative Doppelstrategie denkbar, die Verbindung von (Bürger-)Selbstschutz mit (Unternehmens- und Ämter-)Selbstkontrolle: Einerseits schützen sich die Bürger, sowohl Kunden als auch Urheber geistigen Eigentums, durch den Einsatz spezieller Programme (»Software«) selber. Andererseits unterziehen sich die Unternehmen und Ämter, angefangen beim sehr sparsamen Umgang mit persönlichen Daten, einer freiwilligen Selbstkontrolle. Da auf dem elektronischen Markt aber große Gewinne winken und das Weltnetz eine schier unerschöpfliche Fundgrube für Daten bietet, werden Begehrlichkeiten geweckt, derentwegen weder mit einer wirksamen Selbstkontrolle noch mit einem wirksamen Selbstschutz zu rechnen ist. Ohnehin können auch in technischer Hinsicht die Sicherheitsfachleute im Wettlauf mit »Code-Knackern« mit keinem dauerhaften Sieg rechnen. Infolgedessen bleibt die Weltrechtsordnung gefragt. Nicht als Alternative zur genannten Doppelstrategie ist sie nötig, aber zu deren notwendiger Ergänzung. Ein globales Recht hat für die Grund- und Rahmenregeln des Datenschutzes zu sorgen, sowohl (a) für die Bestimmung der Regeln als auch (b) deren wirksamer Durchsetzung und (c) der unparteiischen Streitschlichtung. Diese drei Aufgaben entsprechen aber den drei bekannten öffentlichen Gewalten. Ob es in der strengen (»strict«) Form oder deren sanfter (»soft«) Variante geschieht: um die andernfalls drohende Willkür und Gewalt abzulösen, brauchen der Datenschutz und, allgemeiner, der Persönlichkeitsschutz gemeinsame Regeln (»Legislative«), eine unparteiische Durchsetzung (»Exekutive«) und die gewöhnliche Gerichtsbarkeit oder Schiedsgerichte (»Jurisdiktion«). 2. Hegemonie oder interkultureller Konsens? Für die näheren Bestimmungen sind andere zuständig, auf der Ebene der Wissenschaft vor allem die Kooperation der Rechts- und PolitikwissenschafFreundesgabe Büllesbach 2002 Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung 259 ten mit der Informatik. Insbesondere als Rechtsethik stellt sich die Philosophie eine Frage, die die Fachkompetenz dieser Kooperation übersteigt, nämlich die normative Frage, wie die einschlägigen Grund- und Rahmenregeln zu rechtfertigen sind. In substantieller Hinsicht legen sich die Menschen- und Grundrechte als Kriterium Regeln nahe. Formaliter liegen dagegen zwei Rechtfertigungsstrategien auf der Hand. Einerseits kann eine Hegemonialmacht ihre eigenen Regeln weltweit durchsetzen. Je nach Art der Hegemonie fällt die Durchsetzung mehr oder weniger »hemdsärmlig« aus. Beispielsweise greift man auf seine militärische Überlegenheit zurück oder deutet sie mehr oder weniger verhüllt an. Oder man lässt seine wirtschaftliche oder rechtliche oder politische Überlegenheit spüren. Oder man operiert mit einem Zusammenspiel dieser Faktoren. Hegemoniale Tendenzen im internationalen Recht gibt es durchaus. Nach Ende des Ost-West-Konflikts haben sie sich sogar, normativ gesehen, merkwürdigerweise verstärkt. Denn in dem Konflikt sollte doch das Gegenteil von Hegemonie verteidigt werden, die »Recht«, »Demokratie« und »Freiheit« oder auch »Menschenrechte» genannte Gleichberechtigung aller Menschen und Völker. Tatsächlich nimmt die nach dem Konflikt einzig verbliebene Großmacht ihre hegemoniale Sonderrolle kräftig wahr. Die Hegemonie ist aber ein politischer Begriff. Weil sie etwas über Machtverhältnisse oder Verhandlungsmacht (»bargaining power«) aussagt, widerspricht sie nicht bloß dem damaligen Rechtsbewusstsein, sondern auch, grundsätzlich betrachtet, dem Wesen des Rechts. Denn die Ausübung einer Hegemonie kann zwar gewissen Bedingungen von Rechtsvernunft dienen, beispielsweise dort, wo ein übermächtiger Staat in die Rolle eines »TeilzeitLeviathans« schlüpft und dank überlegener Macht für Rechtssicherheit sorgt. Die Vormachtstellung lässt sich aber auch zu jener Unterdrückung, sogar Ausbeutung missbrauchen, die bei den Unterdrückten Ressentiments, vielleicht sogar Hass und ein Gefühl der Demütigung hervorruft. Selbst wenn die Hegemonie nicht in Despotie übergeht, droht doch die Gefahr der Parteilichkeit: Warum soll sich eine unstrittig überlegene Macht dem Recht beugen oder das Recht auch nur »sine ira et studio« anwenden? Vor allem fehlt bei einer Hegemonie die Grundbedingung von Recht und Gerechtigkeit: die wechselseitige freie Zustimmung, die Vereinbarung. Ein hegemonial eingerichteter Daten- und Persönlichkeitsschutz hat daher nur zur Hälfte Rechtscharakter. Auch wenn er inhaltlich elementaren Rechtskriterien genügt, widerspricht die Art, den Schutz zu etablieren, elementarem Recht. Die Alternative besteht in der angedeuteten Vereinbarung: in einer Zustimmung, und zwar einer nicht hegemonial erzwungenen, sondern freien Zustimmung aller Betroffenen. Und die Betroffenen sind weniger die einzelnen Rechtsgenossen als die verschiedenen Rechtskulturen. Weder die USA allein noch die europäisch-amerikanische Kultur dürfen ihre Rechtskultur den anderen Kulturen aufzwingen. Gegen das Kriterium »universaler« bzw. »interkultureller Konsens« drängt sich freilich der pragmatische Einwand auf, historisch-faktisch lasse sich die Freundesgabe Büllesbach 2002 260 Höffe freie, allgemeine Einstimmung nie erfüllen. Denn zum einen könne die Zustimmung auch aus Gedankenlosigkeit oder Verblendung erfolgen, womit sie nicht im vollen Sinn frei wäre. Zum anderen seien manche gar nicht anwesend oder könnten sich mangels Zurechnungsfähigkeit nicht frei entscheiden. Weil der Einwand eine gewisse Berechtigung hat, ist das Kriterium zu präzisieren: Damit die Zustimmung überlegterweise (»vernünftig«) erfolgt, ist sie an einen nachprüfbaren Zusammenhang mit den Rechtsinteressen verschiedener Rechtskulturen zu binden. Das formale Kriterium »freie Zustimmung« geht deshalb in das substantielle Kriterium »zustimmungswürdig« über, hier in dem Sinne, dass sich die verschiedenen Kulturen mit ihren berechtigten Interessen darin wiederfinden. 3. Skepsis gegen kulturgeschichtliche Skepsis Nach einer verbreiteten Ansicht sind die Menschen- und Grundrechte derart von jüdisch-christlichen, griechischen, römischen und germanischen Elementen geprägt, dass sie für die abendländische Kultur typisch, anderen Kulturen dagegen fremd sind. Infolgedessen sei das Kriterium »interkultureller Konsens« von vornherein zum Scheitern verurteilt und nur die Alternative Rechtlosigkeit oder hegemoniales Vorgehen bleibe übrig. Dem Verzicht auf einen globalen Daten- und Persönlichkeitsschutz dürfte aber der Export der eigenen Schutzbestimmungen vorzuziehen sein: der Imperialismus bzw. die Hegemonie einer Rechtskultur als die nicht beste, aber doch zweitbeste Lösung. Es ist hier nicht der Ort, alle oder auch nur die wichtigsten Rechtskulturen durchzumustern. Vielfach fehlen schon die dafür erforderlichen Vorstudien. Schon ein kurzer Blick in die Geschichte entdeckt aber in anderen, selbst sehr frühen Rechtskulturen deutliche Anknüpfungspunkte. Auch wenn der Begriff der Privatheit als strenger Rechtsbegriff relativ neu ist, in das Gemeine Recht (Common Law) der USA rechtstheoretisch erst im Jahre 1890 von Warren und Brandeis eingeführt und rechtspraktisch 1965 als Verfassungsrecht anerkannt, ist die Sache mindestens ansatzweise sehr viel älter, was Skepsis gegen die skizzierte Skepsis weckt. Ohnehin hat die Behauptung einer bloß kulturrelativen Gültigkeit gelegentlich nur strategische Bedeutung: Ganz- oder teilautoritäre Regierungen wollen sich gegen Kritik schützen. Selbst wenn die Gegenbehauptung nicht nur strategisch gemeint ist, lässt sich ihre Begründung, die Inanspruchnahme von angeblich konkurrierenden etwa asiatischen oder afrikanischen Werten, in der Regel kulturimmanent entkräften: Beispielsweise soll der in China noch wirksame und in anderen ostasiatischen Ländern sogar vorherrschende Konfuzianismus oder Neokonfuzianismus nicht über einen abstrakten Begriff »des Menschen« verfügen, sondern nur die Verschiedenheit von Rollen und Leistungen kennen, so dass ihm schon der Träger der Menschenrechte, »der Mensch«, fehle. Nach dem zweitwichtigsten Klassiker des Konfuzianismus, Mong Dsi (Meng zi, 4. Jh. v. Chr.), Freundesgabe Büllesbach 2002 Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung 261 besitzt aber »jeder einzelne Mensch« eine ihm angeborene »Würde in sich selbst« (Lehrgespräche, 163 f.). Weil sie in der dem Menschen vom »Himmel« verliehenen moralischen Natur gründe, könne sie durch Machthaber weder gewährt noch genommen werden; legitime Herrschaft dagegen sei an die Achtung dieser Würde gebunden. Mong Dsi bekräftigt also nicht bloß eine normativ anspruchsvolle Grundlage der Menschenrechte, die Menschenwürde. Er unterscheidet auch deutlich das originäre Gewähren von Seiten des Himmels und das bloß subsidiäre Gewährleisten seitens menschlicher Herrschaft. Außerdem darf man die im Konfuzianismus betonte Verschiedenheit der Rollen sozial- und rechtstheoretisch nicht überschätzen. Auch wenn man teils Bruder, teils Sohn, teils Ehemann, teils Vater usw. ist, erkennen konfuzianische Rechtskulturen insofern einen rechtstheoretischen Kern des Personenbegriffs an, als sie ein Strafrecht kennen und sowohl die Täter als auch die Opfer als Individuen identifizieren. Verstöße gegen die Verbote zu stehlen, zu morden usw. werden den betreffenden Tätern zugeordnet, die wiederum zur Verantwortung gezogen, gegebenenfalls bestraft werden, somit qua Täter ihrer Taten als verantwortliche Rechtspersonen gelten. Entsprechendes gilt für das Zivilrecht. Im Handelsrecht und Schuldrecht gelten die Rechtsgenossen unter den entsprechenden Bedingungen, etwa der Volljährigkeit, als geschäftsfähig, also als Personen, die Geschäfte abschließen dürfen und für deren Folgen einstehen müssen. Man darf extrapolieren: Im Zivil- und im Strafrecht, auch bei Fragen der Staatsbürgerschaft und (beispielsweise sozialstaatlicher) Leistungsversprechen beziehen sich alle Kulturen auf Rechtssubjekte im Sinne konkreter Individuen. Auch von der afrikanischen Kultur her lässt sich der Gedanke der Menschenrechte nicht relativieren. Manche afrikanische oder europäische Intellektuelle befürchten zwar, in der für Afrika charakteristischen Betonung der Solidarität gehe die Grundlage der Menschenrechte, die individuelle Personalität des Menschen, unter (vgl. Höffe 1999a, 43 f.). Der afrikanische Sozialethiker Bujo (1993) aber weist diese Deutung entschieden zurück. Schon in der Namensgebung vieler Stämme Afrikas trete die Hochschätzung der Individualität zutage. Statt des im Westen üblichen Familiennamens, der vom Vater zum Sohn – liberaler: von den Eltern zu den Kindern – übergehe, habe jedes Kind nur einen eigenen Namen. Und dieser sei durch jene Umstände, unter denen es geboren wurde, geprägt, so dass er »das Individuum in seiner Geschichtlichkeit und seiner unwiederholbaren Einmaligkeit« bezeichne. Derartige Beispiele erlauben, die beliebte, aber unberechtigte Annahme zurückzuweisen, der Westen sei der einzige Treuhänder der Menschenrechte (lesenswert: Rouland 1991). Ohnehin widerspricht ihr das Strafrecht. In so gut wie allen Kulturen schützt es nämlich gewisse Rechte menschenrechtlicher Dignität, namentlich die Rechte auf Leib und Leben, auf Eigentum und auf einen guten Namen (»Ehre«). Und die Verbindung beider Elemente, der Schutz von Leib und Leben mit dem Verbot zu stehlen, bietet einen guten Einstieg in den Daten- und Persönlichkeitsschutz. Weitere Bausteine für Menschenrechte lassen sich in jener Kritik ungerechter Herrschaft entdecken, Freundesgabe Büllesbach 2002 262 Höffe die weit in die Frühzeit zurückreicht. Im Gilgamesch-Epos (in seiner ältesten Fassung ca. 2000 v. Chr.) etwa wird der Titelheld, der große König von Uruk, aufgefordert, seine Macht nicht zu mißbrauchen und die Diener gerecht zu behandeln. Im indischen Nationalepos Mahabharata aus dem 16. Jahrhundert v. Chr. wird von den Herrschern verlangt, ihr Volk mit allen Mitteln zu schützen. Besonders eindrucksvoll ist ein Bund der Irokesen, der schon im 16. Jahrhundert, mehr als zwei Jahrhunderte vor der ersten westlichen Menschenrechtserklärung, alle Mitglieder der irokesischen Stämme als persönlich frei und in ihren Privilegien und Rechten gleich erklärt (Morgan 1851). Angesichts einer so überwältigenden Evidenz darf man eine Generalisierung wagen und zumindest Ansätze des Gedankens von Menschenrechten zum gemeinsamen Gerechtigkeitserbe der Menschheit zählen. Wer die Menschenrechte allerdings wie Renteln (1990) lediglich aus einem faktischen Wertkonsens der Kulturen bestimmen will, läuft Gefahr, eine Minimalisierung vorzunehmen. Unberechtigt ist nicht bloß jener Hochmut des Westens, der die Menschenrechte zur exklusiven Erfindung des Abendlandes macht. Falsch ist auch die plane Umkehrung, jene bloße Selbstkritik, die die Menschenrechte durch Pathologien herausgefordert sieht, die sich angeblich nur im Westen finden. Zweifellos sind Menschenrechtserklärungen oft buchstäblich »aus der Not geboren«. Die Not, massives Unrecht wie etwa Sklaverei, Kolonialismus, religiöse und andere Unterdrückung, findet sich aber auch außerhalb des Westens und außerhalb seiner Neuzeit. Ist aber nicht zumindest der Gedanke der Privatheit für einen Kulturkreis, den Westen, typisch, sogar nur für dessen Neuzeit, also lediglich eine einzige Epoche? Es ist richtig, dass beispielsweise der Orient seit jeher, seit dem Alten Orient, in Begriffen von Familien und Großfamilien denkt, ihm daher der Gedanke eines individuellen Privatraums ziemlich fremd ist. Wahrscheinlich geht es aber beim überwiegenden Teil des Datenschutzes und des damit verknüpften Persönlichkeitsschutzes gar nicht um die Individualsphäre innerhalb von Familien, sondern um den Schutz der Privatsphäre gegen Personen oder Institutionen. Diese sind aber im Sinne orientalischen Denkens Fremde, vielleicht sogar Wildfremde. Im übrigen bedeutet privatio wörtlich Mangel, Beraubung; der Ausdruck meint im Sozial- und Rechtsbereich den der Öffentlichkeit, dem Gemeinwesen, entzogenen Raum. Der Ausdruck »Privatrecht« bewahrt die ursprüngliche Bedeutung auf: Das Private ist primär das vom Öffentlichen Abgesonderte, das Nichtöffentliche. Dessen Teilräume – ist zu ergänzen – sind ihrerseits gegeneinander abgesondert. Das Privatrecht regelt nicht bloß die Beziehung von Individuen zueinander, sondern den Gesamtbereich der auf dem Boden der Gleichordnung erwachsenen Beziehungen, einschließlich der familiären Binnenbeziehungen (Ehe, Kindschaft, Verwandtschaft), dem Handelsrecht, Teilen des Arbeitsrechts usw. Insofern besteht das Private in einer doppelten Aus- und Abgrenzung: in der Ausgrenzung des Nichtöffentlichen aus dem öffentlichen Bereich und innerhalb des Nichtöffentlichen in die Ausgrenzung des einen gegen alle Freundesgabe Büllesbach 2002 Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung 263 anderen. Und die Ausgrenzung ist in dem starken Sinn zu verstehen, dass das Ausgegrenzte eo ipso als etwas Eigenes gilt, als ein Innen, das gegen das Außen geschützt ist. Ob der Schutz relativ oder absolut ist, ist eine sekundäre Frage, ziemlich stark ist er auf jeden Fall. Sowohl systematisch als auch historisch gesehen dürfte die Untergliederung des Privaten sekundär sein: dass man innerhalb der Häuser bzw. (Groß-) Familien eine Sphäre der Individuen gegeneinander abgrenzt. Und ziemlich spät wird die Sphäre der Individuen zur Hauptbedeutung einer Privatheit, in die nicht bloß der Staat, sondern jeder andere nicht eindringen darf. Gegen Fremde grenzt man sich im Orient deutlich ab, sichtbar schon in der Architektur. Die Häuser sind nach außen sehr rigoros durch Mauern abgeschirmt; die Straßen werden beiderseits von Mauern flankiert. Und der der Öffentlichkeit entzogene Raum, der also im wörtlichen Sinn von privatio Privatraum, der jenseits der Mauern anfängt, ist gegen den Privatraum der anderen abgegrenzt, überdies in sich noch mehrfach gestuft: Durchschreitet man das Tor, so beginnt (1) die äußerste Privatsphäre, die in der Regel noch keinen Blick aufs Haus erlaubt. (2) Erst wenn man um eine Ecke biegt, kommt das Haus in Sicht und man betritt die äußere Privatsphäre. (3) Das Haus selbst, in das man dann durch eine Tür geht, kann man als die Privatsphäre im engeren Sinn ansehen. (4) Schließlich ist innerhalb des Hauses noch der Haram abgegrenzt, der wörtlich den abgeschlossenen Raum meint, also innerhalb der Privatheit eine sogar architektonisch abgegrenzte Intimsphäre. 4. Ius gentium: Ein historisches Vorbild Im Gegensatz zur vorherrschenden Meinung sind beide Elemente nicht grundlegend neu: weder staatenübergreifende, ansatzweise globale Beziehungen noch ein staatenübergreifendes, sogar globales Recht: Einerseits findet ein Austausch unter Kulturen zwischen Mesopotamien und Ägypten schon vor mehr als vier Jahrtausenden statt. Ferner entwickeln sich weit vor der Neuzeit internationale Handelswege wie die antike Seidenstraße. In hellenistischer Zeit verschmelzen der Orient (einschließlich Indien und China) und der Mittelmeerraum (sogar bis Inner-Afrika) in Annäherung zu einem Welthandelsgebiet mit Weltmarktpreisen und mit Welthandelszentren wie Alexandria und dem mesopotamischen Seleukia. (Übrigens entsteht aus der Verbindung des Griechentums mit orientalischen Elementen eine neue, beinahe weltumfassende Kultur.) Außerdem breiten sich gewisse Religionen weltweit aus, weshalb sie Weltreligionen heißen. Und vor allem »globalisieren sich« seit der Antike die Gestalten der natürlichen Vernunft: Philosophie, Wissenschaft, Medizin und Technik. Auf der anderen Seite bildet sich seit dem dritten Jahrhundert v. Chr. ein ius gentium heraus, ein Völkerrecht, das aber weniger die Beziehung zwischen Völkern als die zwischen den Mitgliedern verschiedener Völker regelt (s. Kaser 1993). Es betrifft vornehmlich die nichtöffentliche Dimension eines internatioFreundesgabe Büllesbach 2002 264 Höffe nalen Rechts, also ein internationales Privatrecht. Entwickelt aus den Handelsund Verkehrsbräuchen des internationalen Marktes in Rom, erlaubt es, Rechtskonflikte zu schlichten, die die Grenzen von Staaten überschreiten, aber nicht in den Bereich des üblichen Völkerrechts, des internationalen öffentlichen Rechts, fallen. Das Modell erlangt bald weltgeschichtliche Bedeutung. Für einen interkulturellen Rechtskonsens haben vier Elemente einen Vorbildcharakter: Erstens handelt es sich nicht um ein »nur philosophisches Recht«, etwa um überpositives Naturrecht, sondern um ein positiv geltendes, überdies hochverfeinertes Recht. Zweitens reicht seine Geltung über die Landesgrenzen hinaus; tendenziell gilt es sogar weltweit. Es achtet drittens nicht auf ethnische oder religiöse Zugehörigkeit, sondern auf den Menschen als Rechtssubjekt und praktiziert deshalb eine strenge Gleichbehandlung. Viertens geht man nicht vom eigenen, »nationalen« Recht aus, sondern arbeitet mit Elementen, von denen man erwartet, dass sie von allen Rechtskulturen anerkannt werden können. 5. Menschenrechte: Skizze einer interkulturell gültigen Rechtfertigung Wer einen interkulturellen Konsens sucht, darf sich nicht auf kulturspezifische Kriterien berufen. Während die Prinzipien der Verteilungsgerechtigkeit interkulturell umstritten sind, ist der Gedanke der Tauschgerechtigkeit, die Gleichwertigkeit im Nehmen und Geben, unstrittig. Deshalb versuche man die Rechtfertigung einmal auf dieser Basis. Allerdings darf man weder einen zu engen, nur ökonomischen noch einen zu kleinlichen Tauschbegriff haben. Vielmehr muss man wissen, dass außer materiellen auch ideelle Dinge getauscht werden oder, allgemeiner, im Tausch in und aus Wechselseitigkeit entstehen: Sicherheit, Macht, Anerkennung, insbesondere auch Freiheiten und Chancen der Selbstverwirklichung. Außerdem muss man phasenverschobene Tauschbeziehungen berücksichtigen: Die Hilfe, die die Kinder in den ersten Jahren erfahren, können sie als Erwachsene gegen ihre dann hilfsbedürftigen Eltern »wiedergutmachen«. Über die Feinbestimmung der Menschenrechte wird bis heute gestritten, über die Grundbestimmungen aber kaum. Seit ihren griechischen Anfängen weiß die philosophische Anthropologie, dass das wohl elementarste »Gut« des Menschen, seine Handlungsfähigkeit, an dreierlei gebunden ist, sichtbar in drei Grundbestimmungen, die auf jeden Menschen jeder Kultur zutreffen: Jeder ist (1) ein Leib- und Lebewesen (zôon bzw. animal), das (2) sich durch Denk- und Sprachfähigkeit auszeichnet (zôon logon echon bzw. animal rationale) und (3) der Gemeinschaft mit ihrer politischen Ordnung bedarf (zôon politikon bzw. animal sociale). Weil die beiden ersten Bestimmungen an negative und positive Vorbedingungen gebunden sind, lassen sich drei Hauptgruppen von Menschenrechten unterscheiden: negative Freiheitsrechte, positive Freiheitsrechte bzw. Sozial- und Kulturrechte und (demokratische) Mitwirkungsrechte. Freundesgabe Büllesbach 2002 Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung 265 Die für den Daten- und Persönlichkeitsschutz besonders wichtigen negativen Freiheitsrechte lassen sich über den Gedanken eines transzendentalen Tausches begründen: Da der Mensch sowohl verletzbar als auch gewaltfähig ist, kann er sowohl ein Täter der die Handlungsfähigkeit bedrohenden Gewalt als auch ihr Opfer sein. Um trotzdem sein transzendentales, nämlich den gewöhnlichen Interessen zugrunde liegendes Interesse an Handlungsfähigkeit zu wahren, muss er sich auf einen wechselseitigen Verzicht einlassen, der die zuständigen Menschenrechte begründet: Verzichtet jeder auf Körperverletzung und Töten, so wird jedem das Recht auf Leib und Leben gewährt. Indem jeder die Religionsausübung der anderen nicht behindert, erhält er das Recht auf Religionsfreiheit usw. Auf den absolutistischen Staat fixiert, versteht man die Freiheitsrechte zwar vornehmlich als Abwehrrechte gegen den Staat. Tatsächlich gewähren sie sich aber die Rechtsgenossen selbst, während der Staat lediglich die subsidiäre, freilich auch unverzichtbare Aufgabe des Gewährleistens übernimmt (für die analoge Rechtfertigung der beiden anderen Gruppen von Menschenrechten s. Höffe 2002, Kap. 3.4 und 4.3). Ziehen wir eine vorläufige Bilanz: Da es auf allgemeinmenschliche Interessen ankommt, können die nichtwestlichen Kulturen sich das Gefühl der Demütigung ersparen und statt dessen sich mit den Menschenrechten positiv identifizieren. Der Westen spielt sich hier nicht als herrschsüchtiger Hegemon auf, sondern ist allenfalls der Wortführer einer Entwicklung, die ein allgemeinmenschliches Potential zugunsten allgemeinmenschlicher Interessen und Fähigkeiten zur Blüte führt. Und weil nur allgemeinmenschliche Interessen zählen, lassen sich die Erfahrungen anderer Kulturen integrieren. Der Gedanke der Menschenrechte ist im Prinzip flexibel und lernfähig. 6. Ausblick: Philosophie als Anwalt der Menschheit Seit ihren Anfängen sucht die Philosophie zu generellen, oft universalen Problemen mittels universal gültiger Argumente ebenso universal gültige Aussagen. Zu diesem Zweck lässt sie sich im Zeitalter der Globalisierung auf einen teils die Kulturen vermittelnden: interkulturellen, teils sie umgreifenden: transkulturellen Diskurs ein (zum Gedanken interkultureller Rechtsdiskurse vgl. Höffe 1996 und 1999). Auch beim Daten- und Persönlichkeitsschutz ist er auf drei Ebenen zu führen: In der Theorie beruft er sich nicht auf spezifische Elemente der europäisch-amerikanischen Rechtskultur. Denn nur dort, wo man alle Besonderheiten beiseite setzt, kann man verschiedenartige Kulturen auf Gemeinsamkeiten verpflichten. Auf der zweiten, geschichtlichen Ebene verbindet der Diskurs historisches Bewusstsein mit sozialgeschichtlichen Kenntnissen. Er erinnert beispielsweise daran, dass die westliche Zivilisation schon in ihren Anfängen von außerwestlichen Quellen, dass die griechische Kultur etwa von orientalischen (ägyptischen, babylonischen, hethitischen, phönizischen ... ) Einflüssen mitgeprägt ist und dass die Vermittlung dieser Kultur ins lateinische Mittelater großenteils Freundesgabe Büllesbach 2002 266 Höffe nicht über Rom erfolgte, sondern über syrische Christen und den islamischarabischen Kulturraum. Dank seines historischen Bewusstseins findet der interkulturelle Diskurs für drei Bestandteile der »westlichen Rechtskultur«, für die Volkssouveränität, die Menschenrechte und die Gewaltenteilung, Ansätze in anderen Kulturen: Für die Volkssouveränität verweist er auf die frühen Jägerkulturen, in denen verwandtschaftlich aufgebaute Horden (Sippen) ihre Entscheidungen gemeinschaftlich treffen. Demokratischen Charakter haben auch viele religiöse Orden. Und in der afrikanischen Institution des Palavers wird so lange unter allen Betroffenen beraten, bis ein Konsens erzielt ist. Einen Großteil der Menschenrechte wiederum schützt das in den Rechtsordnungen geltende Strafrecht. Asiatische Autoren wie Carolina Hernandez 1997 und Eun-Jerny Lee 1997 sehen den Gedanken der Menschenrechte sogar in den eigenen, asiatischen Traditionen verwurzelt. Schließlich finden sich überall dort Ansätze von Gewaltenteilung, wo den Herrschern teils als Gewohnheitsrecht, teils als göttliches Recht Regeln vorgegeben sind. Mindestens ebenso wichtig ist die dritte Ebene: Für die Praxis plädiert der interkulturelle Diskurs für eine so behutsame Verwirklichung der formalen Prinzipien, dass deren Offenheit tatsächlich zum Tragen kommt. Die Rechtsund Gerechtigkeitsansprüche der modernen Zivilisation dürfen nur dann anderen Kulturen zugemutet werden, wenn diese ein hohes Maß an Eigenständigkeit behalten. Statt ihre Identität aufgeben zu müssen, haben sie das Recht auf eine Akkulturation: auf eine ihrer Kultur gemäße Einverleibung. Grundlegend neu ist der inter- und transkulturelle Rechtsdiskurs nicht. Denn schon immer hat sich die Philosophie als Anwalt der Menschheit verstanden, wobei »Menschheit« primär das Humane im Menschen bedeutet, dessen Berücksichtigung sekundär der Menschheit im Sinne der Gattung zukommt. Gewohnt, sich nicht auf gewisse Traditionen oder Konventionen zu stützen, auch nicht auf heilige Texte oder eine Offenbarung, verlässt sich die Philosophie lediglich auf die allgemeinmenschliche Vernunft und auf allgemeinmenschliche Erfahrungen. Auf diese Weise gewinnt sie, was sich für globale Rechtsdebatten einschliesslich denen über Daten- und Persönlichkeitsschutz als normativer Kern eignet: kulturübergreifend gültige Begriffe und Prinzipien. Literatur Bujo, B. (1993): Die ethische Dimension der Gemeinschaft. Das afrikanische Modell im Nord-Süd-Dialog, Freiburg, Schweiz Gilgamesch-Epos, übers. v. A. Schott, Stuttgart 1988 Hernandez, C. (1997): How different are the civilisations? A view from Asia, in: Internationale Politik und Gesellschaft 2 (1997), 117–129 Höffe, O. (1996): Vernunft und Recht. Bausteine zu einem interkulturellen Rechtsdiskurs, Frankfurt/M. – (1999): Gibt es ein interkulturelles Strafrecht? Ein philosophischer Versuch, Frankfurt/M. – (2002): Demokratie im Zeitalter der Globalisierung, München Freundesgabe Büllesbach 2002 Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung 267 Kaser, M. (1993): Ius gentium, Köln u.a. Lee, E.-J. (1997): Asiatische Werke als Zivilisationsleitbild? in: Internationale Politik und Gesellschaft 2, 130 –140 Mahabharata. Indiens großes Epos, übers. v. B. Roy, München 1989 Mong Dsi (Meng Zi): Die menschliche Natur ist gut, m: die Lehrgespräche des Meisters Meng K’o, Köln 1982 Morgan, L. (1851): League of the Hode’nosaunee or Iroquis, Rochester Renteln, A.D. (1990): International human rights: universalism versus relativism, Newbury Park, Calit.: Sage Rouland, N. (1991): Aux confins du droit. Anthropologie juridique de la modernité, Paris: Jacob Freundesgabe Büllesbach 2002 268 Freundesgabe Büllesbach 2002 269 Jackson Janes The Transformation of the German-American Debate over Privacy Prior to September 11, 2001, the transatlantic debate over data protection was essentially focused on ways to manage the increasing reach of the World Wide Web and the commerce evolving within it. With billions of dollars at stake on both sides of the ocean, access to markets was – and is – of enormous importance to industries competing with new technological innovations. Yet finding common ground in the management of data protection/privacy regulatory policies has been a continuing challenge for government and corporate leaders. This has as much to do with the legal approaches as it does with political and cultural differences in approaches to this complicated issue. After September 11, the debate became more dramatically connected to the war against terrorism. The German and American reaction to the attacks in New York and Washington D.C. generated a new set of challenges to the protection of civil society. Germany and the United States quickly called for ways to increase security and both countries passed legislation which was designed to respond to the threats of more terrorism. In both legal frameworks, the legislation enhanced the power and tasks of the security authorities. While the United States considered itself at war after September 11, Germany did not. As a result, the U.S. invoked special powers (military tribunals, inmate-attorney discussions monitored, and expansion of surveillance powers) as it passed the USA Patriot Act. The German legislation evolved amidst more controversy within the Parliament but also focused on the need for collective security measures which also carried with them some restraints on civil liberties. Even in the shadow of September 11, Germans and Americans will continue to argue among themselves and across the Atlantic about how to achieve the most effective balance between collective security and the rights of the individual. Yet the debate itself has now become charged with concerns about global terrorist threats as well as the challenge of protecting privacy. On both sides of the Atlantic, its evolution will be shaped by the unique combination of history and culture as well as political and legal traditions defining the national dialogues. What is at stake? The old and new questions about protecting privacy in the post September 11 environment remain those which center on the role of the government and regulatory powers, the globalization of trade – and now terrorism, on the free flow of information within the world wide web, and the balance between collective security and the protection of the privacy of data and enforcement of that protection. Freundesgabe Büllesbach 2002 270 Janes It is a paradox of modern society that we live in an ever shrinking world in which the increasing interaction of ideas and individuals can enhance our democratic dialogues while it can also lead to confrontation and conflict. As the old adage says, familiarity can breed both understanding and contempt. Yet we have no choice in dealing with both developments emerging from an increasingly interlocked global grid. The Economic Grid The information sector and the multitude of services which have evolved within it during just the last two decades alone have made it the largest economic theater on the globe. The growth of the World Wide Web has defined the concept of exponential expansion. In the last ten years, popular web use has come from virtually nothing to many millions of people making use of this global tool. While half of those can be found in the United States, the rest of the world is rapidly catching up. The top four users of the web remain the U.S., Japan, the U.K. and Germany. Originally an instrument shared only by sophisticated research specialists, the commercial dimension of the web has become the dominant mode, which is reflected in the enormous amount of business being done through it. The estimates of the revenues generated over the Internet have been growing significantly during the past decade, some projecting over a half trillion in the United States where the majority of the web traffic has been produced. However, that will grow dramatically in the future as the markets and masses around the world enter this new era of access to the web. With half the world’s population currently concentrated in two countries, China and India, it is probable that both the languages and the content of the web will reflect that fact in the coming decade. With increasingly larger numbers of people going on line to do their shopping at all levels of business, the incentive for information technology corporations to expand their capabilities and their reach to the markets is virtually unlimited. With that potential comes a corresponding need to maintain both access and protection for all those engaging in these transactions and enforcement of laws which are aimed to prevent the criminal use of the web. Yet arriving at a legal consensus on this need across so many different borders remains a continuing problem. This not only involves the question of the protection of data and personal information. There are many other unresolved issues surrounding the use of the web. The challenge of creating an acceptable taxation system for cyberspace commerce remains unresolved. Regulating e-commerce with an eye on anti-trust concerns offers another difficult issue. Arriving at a fair resolution of these matters is driven by the enormous promise of an exploding market. Yet the post September 11 environment now demands that additional issues be revisited. Freundesgabe Büllesbach 2002 The Transformation of the German-American Debate over Privacy 271 The Security Grid In the information technology environment of the twenty-first century, people who use the web leave their virtual footprints whereever they go. From credit card transactions to mail-order firms, from on-line bank accounts to airline frequent flyer programs, the users of the web are making it possible for companies to know their customers ever more intimately all over the world. The result of these developments has been increased concern about the protection of consumers in electronic commerce with particular emphasis on how information about people is collected, stored and used. If it is easier to secure data about people, how can the security of that data be guaranteed, and by whom should it be controlled or regulated? Both governments and businesses have the capability to know more about the patterns of people than ever before in history. »Big Brother« is no longer a fictional threat. The recent film Enemy of the State provides a dramatic exaggeration of the misuse of that power. Yet any company which is dealing with magazine subscriptions or retail billing maintains a large amount of details concerning the incomes, lifestyles and habits of millions of people all over the world. On the one hand, such control of information can be of beneficial use if one is trying to improve the efficiency of serving either citizen or consumer by having a better picture of the needs and demands of both within the political process or the market. The ability of a democracy to implement self-correction requires knowing more about the issues and developments in question. This is why we have a census every ten years in the United States, which does more than count heads. It can also address questions about the impact and efficiency of its education, health care and social welfare. Businesses are forever trying to figure out what the consumer wants so that they can introduce new products and services and also deliver operational efficiency at lower costs. Medical information needs to be transferred among doctors, hospitals, insurers, pharmacies and even research centers, sometimes in an expedient manner if there is an outbreak of disease. Democratic governments need to have constant feedback from the citizens in order to maintain their own support and legitimacy. On the other hand, there is ample room for misuse of this information and there is always a need to be alert to those dangers in an open society. For example, the unregulated transfer of health data among hospitals, pharmaceutical industries or insurance companies without proper controls can be detrimental for individuals and ethnic, racial or sexual groups. The vicious circle of organized crime, terrorist strategies to exploit the open political and social structures of democracies, and the wide presence of political corruption can all combine to undermine the basis of achieving a healthy balance between civil security and stability and individual rights. Freundesgabe Büllesbach 2002 272 Janes Protecting Privacy: beyond September 11 During the past ten years, the European Union and the United States – the two main arenas in which electronic commerce and the use of data collection is most advanced – have been debating the policy responses surrounding these issues within their own respective frameworks as well as across the Atlantic. Those debates reflect different attitudes toward privacy, the degree to which the citizens of a given country show trust and confidence in the governments and their corporate leaders. And these differences have made it difficult to achieve a transatlantic consensus. When it was implemented in 1998, The Privacy Directive of the EU prompted many in the United States to accuse the data protection policy of limiting the free flow of information and infringing on what some Americans would refer to as constitutional free speech. With regard to the Internet, the prevailing American attitude is to not attempt to control it. Making such an attempt, it is argued, would be no more successful than trying to control the content of the global telephone grid. The American approach has been to emphasize the self-regulatory capabilities and responsibilities of the corporate sector with regard to how they handle data and privacy safeguards. However, there remains a set of questions which still shape the transatlantic debate: what form of dispute mechanisms can be implemented to resolve conflicts, who judges those disputes, and what resolutions can be proposed. The European Union – and Germany was a primary leader in this context – has been rigorous in enforcing its Privacy Directive. While negotiating with the United States over how the adequacy of data protection can be guaranteed, there has been consistent emphasis on the fundamental right of Europeans to protect privacy and that the enforcement was the responsibility of the governments and their respective agencies charged with implementing it. Yet after September 11, and within the German legislation which was implemented at the beginning of 2002, there was recognition that to deal with the threat of terrorism, some leeway was needed in gaining access to data. Now the security agencies have the right to ask postal services, telecommunications providers and financial institutions for information on specific individuals. As of this writing, The EU is revising its regulatory policies on data retention for the purposes of enhancing national security. The search for a balance between the needs of law enforcement and the requirement of the right of privacy continues. The fact that information of any sort remains critical to the prevention of the terrorist attacks experienced in September, 2001, will provide evidence to some that the government needs to access a broad range of data to track down those who threaten us. At the same time, the increasing recognition that so much data is available argues for others that we need to be as vigilant about the need to protect personal privacy. There can be no zero sum game played with the needs of security and freedom. Freundesgabe Büllesbach 2002 273 Anja Miedbrodt Unterschiede im Regulierungsverständnis der deutschen und der amerikanischen Rechtskultur 1. Einleitung Ausgehend von seiner kontinentaleuropäischen Sicht nähert sich der deutsche Jurist einem Rechtsproblem zunächst über das Studium der das relevante Rechtsgebiet betreffenden Vorschriften. Hierbei wird ihm zunächst auffallen, dass US-amerikanische Gesetze häufig eine Reihe von Legaldefinitionen und Detaillösungen enthalten, die für ihn die Regelung eher überladen erscheinen lassen. Entsprechend der deutschen Praxis wird er weiterhin zur umfassenden Klärung der bestehenden gesetzlichen Rahmenbedingungen ergänzend zum Gesetzestext die einschlägige Rechtsprechung heranziehen. Dazu kann er sich der sogenannten Restatements of the Law, der umfassenden Entscheidungssammlungen und der Indexwerke bedienen (siehe dazu Blumenwitz 1998, S. 75 ff.). Bezüglich dieses Vorgehens ähneln sich die Arbeitsweisen der deutschen und der US-amerikanischen Juristen. Der entscheidende Unterschied besteht meiner Ansicht nach darin, welches Gewicht der Rechtsprechung im Rahmen der juristischen Argumentation zukommt. Während der deutsche Jurist die Lösung einer materiellen Rechtsfrage immer auf eine Gesetzesvorschrift zurückzuführen sucht, wird sich der US-amerikanische Jurist für seine Argumentation zunächst auf Präzedenzfälle stützen und nur in Ausnahmefällen auf eine Gesetzesvorschrift verweisen. Diese unterschiedliche Argumentationstechnik beruht möglicherweise auf Unterschieden zwischen der deutschen und der US-amerikanischen Regelungskultur. Aufgabe dieses Beitrages soll es sein, zu untersuchen, ob sich der erste Eindruck bei näherer Betrachtung bestätigt und tatsächliche Unterschiede bestehen und worin diese möglicherweise begründet sind. Mit diesem Thema hat sich Prof. Büllesbach im Rahmen seiner Aufgaben in einem multinationalen, aber auch insbesondere deutsch-amerikanischen Konzern, sehr engagiert auseinandergesetzt. 2. Bestimmende Elemente einer Rechtsordnung Zur Untersuchung der Frage, ob tatsächlich Unterschiede im Regulierungsverständnis zwischen der deutschen und der US-amerikanischen Rechtskultur bestehen, ist zunächst nach den bestimmenden Elementen einer Rechtsordnung zu fragen. Auf den ersten Blick scheint eine Rechtsordnung lediglich eine Summe von Normen, Prinzipien und Rechtsbegriffen zu sein, die durch unterschiedlichste Akteure geprägt werden. Bei näherer Betrachtung stellt sich allerdings heraus, dass diese Elemente nicht gleichberechtigt nebeneinander stehen, sondern es gerade ihre Rangordnung und ihre Beziehungen Freundesgabe Büllesbach 2002 274 Miedbrodt untereinander sind, durch die eine Rechtsordnung charakterisiert wird. Bestimmt wird diese Rangordnung durch das Wertesystem, das jeder Rechtsordnung zugrunde liegt (Constantinesco 1971, Band I, S. 263.). Dieses wiederum wird entscheidend durch die Wirtschaftsverfassung, die offizielle Ideologie, den Grundsatz der Gewaltenteilung und die Bindung der Gewalten an das Recht geprägt (Constantinesco 1971, Band I, S. 265). Da sowohl das US-amerikanische als auch das System der Bundesrepublik Deutschland auf den politischen und sozialen Grundsätzen der liberalen Demokratie und den wirtschaftlichen Grundsätzen des Kapitalismus beruht, kann es nur die Rangordnung der einzelnen Elemente der Rechtsordnung sein, die zu den eingangs beschriebenen Unterschieden führen (so auch Zajtay 1965, S. 99). Die unterschiedliche Argumentationstechnik legt nahe, dass den Normen und Prinzipien, die beide Rechtsordnungen der Rechtsprechung einerseits und dem Gesetzgeber andererseits zuweisen, ein unterschiedliches Gewicht beigemessen wird. 3. Historische Entwicklung der beiden Rechtsordnungen Bei der Verifizierung dieser Hypothese kann die Beschäftigung mit der Entstehungsgeschichte der beiden Rechtsordnungen weiterhelfen. 3.1 Deutschland Grundlegende Bedeutung für die Entwicklung des heutigen kontinentaleuropäischen Rechts kommt dem Corpus Juris Civilis des byzantinischen Kaisers Justinian I. (527 – 565 n. Chr.) zu, dessen zweiter Teil, die sogenannten Digesten oder Pandekten, eine Zusammenfassung der klassischen römischen Juristenschriften vor allem aus dem 2. und 3. Jahrhundert enthält. Im späten 11. Jahrhundert wurde dieses im Westen Europas bekannt und dann in Bologna, Pavia und den im 12. und 13. Jahrhundert neu gegründeten Universitäten zur Grundlage des juristischen Studiums erhoben. Auf diese Weise verbreitete sich das römische Recht allmählich in ganz Europa und drang insbesondere auch in das Rechtswesen Deutschlands ein (Rheinstein 1987, S. 83 f.). Dies bedeutet allerdings nicht, dass damit auch die einzelnen Rechtssätze des römischen Rechts in Deutschland galten. Vielmehr wurde mit der Rezeption des römischen Rechts die systematische Strukturierung der Rechtssätze, die Bildung von logischen Grundsätzen und die Oberbegriffsbildung, gewissermaßen die Verwissenschaftlichung des juristischen Denkens, übernommen (Zajtay 1965, S. 107 f.). Von ihrer Struktur her zielten die Rechtssätze darauf ab, Entscheidungen für eine Vielzahl bislang noch unbekannter Einzelfälle bereit zu halten (Grasmann 1988, S. 202). Insoweit stellte sich die Rechtsordnung als ein zusammenhängendes Ganzes, als ein »geschlossenes System«, dar, in welchem alle Rechtsfragen – zumindest Freundesgabe Büllesbach 2002 Unterschiede im Regulierungsverständnis zwischen der deutschen und der amerikanischen Rechtskultur 275 theoretisch – durch Auslegung von bestehenden Rechtsnormen zu lösen sind (Will 1988, S. 477). Noch bis zum neunzehnten Jahrhundert haben im Wesentlichen die Rechtsgelehrten zur Weiterentwicklung des Rechts beigetragen. Grund dafür war nicht zuletzt die Zersplitterung der Rechtspflege, wodurch die Herausbildung einer die Rechtsfortbildung beherrschenden Richter- und Anwaltschaft behindert wurde. Auf der anderen Seite waren die Gerichte nicht durch eine Beschränkung ihrer Zuständigkeit auf besondere Klagen mit besonderem Verfahren gehindert, umfassende Erwägungen zur inhaltlichen Gerechtigkeit anzustellen und die durch die Rechtsgelehrten erarbeiteten Rechtssätze anzuwenden (Will 1988, S. 448). Mit der Einführung der Demokratie hat der Gesetzgeber die Rolle der Rechtsgelehrten übernommen (Grasmann 1988, S. 213). 3.2 Vereinigte Staaten Mit der Besiedlung des amerikanischen Kontinents im 17. Jahrhundert durch englische Untertanen fand auch das englische Common Law Verbreitung. Zwar standen die Siedler anfangs der Anwendung des englischen Common Law ablehnend gegenüber. In vielen Fällen waren sie wegen Verfolgung in ihrem Heimatland zur Emigration gezwungen worden. Auch warfen die Lebensumstände der Siedler spezielle Probleme auf, für die sich im englischen Common Law keine Lösungen fanden. Mit der zunehmenden Verbesserung der wirtschaftlichen und der sozialen Lebensumstände der Siedler stieg allerdings auch deren Bedürfnis nach einem entwickelten Recht, wodurch die Anwendung und Verbreitung des englischen Common Law begünstigt wurde (Cloidt 1984, S. 502 f.). Veranlasst durch die 1776 erklärte politische Unabhängigkeit der Vereinigten Staaten entbrannte auch die Diskussion über die Unabhängigkeit des amerikanischen Rechts. Bis zur Mitte des 19. Jahrhunderts war der Ausgang dieses Meinungsstreits zwischen den Vertretern des Common Law und den Befürwortern einer umfassenden Kodifikation ungewiss. Schließlich setzte sich doch das Common-Law-System durch, so dass das Recht der Vereinigten Staaten, mit Ausnahme des Staates Louisiana, auf dem in England vor 1776 geltenden Recht beruht. Begünstigt wurde die Entwicklung durch die Sprachengleichheit und den englischen Ursprung der überwiegenden Zahl der Siedler (Cloidt 1984, S. 503 ff.). Was kennzeichnete nun das englischen Common Law zu dieser Zeit? Ursprünglich beruhte das Common Law auf der Rechtsprechung der nach der Eroberung durch die Normannen im Jahre 1066 eingerichteten kirchlichen Gerichte, die seit dem 13. Jahrhundert nach ihrem Sitz als WestministerGerichte bezeichnet wurden (Will 1988, S. 437 ff.). Ihre Zuständigkeit richtete sich nach der Wahl einer bestimmten Klageart. Im Vordergrund des hochformalisierten Verfahrens stand die Herausarbeitung von Tatfragen, die einer Freundesgabe Büllesbach 2002 276 Miedbrodt Jury zur Entscheidung vorgelegt wurden. Durch entsprechende Beweisregeln sollte verhindert werden, dass die aus Laienrichtern bestehende Jury unangemessen beeinflusst wurde. Aufgrund dieser Gestaltung des Verfahrens galt die Hauptsorge der englischen Juristen weniger der materiellen Begründung einer Entscheidung, sondern der Wahl der richtigen Klageart und anschließend der Befolgung der Verfahrensregeln. Innerhalb dieser Formzwänge musste sich das materielle Recht entwickeln, was eine Rezeption römischer Rechtsvorstellungen verhinderte (Will 1988, S. 448). Dies hatte zur Folge, dass sich Begrifflichkeiten, Kategorien und Einteilungen im Common Law lediglich in Abhängigkeit von konkreten Problemen im Rahmen von einzelnen Rechtsstreitigkeiten entwickeln konnten. (Zajtay 1965, S. 109). Eine umfassende Systematisierung des Rechts konnte somit nicht erfolgen. Damit gleiche Sachverhalte auch gleich entschieden wurden, waren die Gerichte an vorangegangene Entscheidungen gebunden (»stare decisis«). Um von einer vorangegangenen Entscheidung abweichen zu können, musste begründet werden, worin der eine andere Entscheidung rechtfertigende Unterschied (»distinguishing«) bestand. Im 15. Jahrhundert setzte sich die Erkenntnis durch, dass die Anwendung der starren Regeln des Common Law in bestimmten Zusammenhängen zu ungerechten Ergebnissen führe. In diesen Fällen wurde dem Rechtsuchenden die Möglichkeit eingeräumt, den Kanzler (»Chancery«) anzurufen, damit dieser kraft königlicher Prärogative das starre Recht lockere oder ergänze, wo dies die Billigkeit erfordere (»Equity«) (Will 1988, S. 461). Bis 1875 durfte dieses Billigkeitsrecht allein von der Chancery angewandt werden. Heute sind diese Normen fester Bestandteil des englischen Rechts (Will 1988, S. 452). Zur Ergänzung und Berichtung des Common Law diente auch der Erlass von Gesetzen, weshalb diese historisch betrachtet nur als zweitrangige Rechtsquelle angesehen werden (Fikentscher 1975, S. 460 f.). Sie stellen daher im englischen Rechtssystem eher einen »Fremdkörper« dar (Cloidt, 1988, S. 534). 4. Auswirkungen der historischen Entwicklung Obwohl der historischen Entwicklung zu entnehmen ist, dass beide Rechtsordnungen dem durch die Rechtsprechung bzw. die Gesetzgebung entwickelten Recht einen unterschiedlichen Rang innerhalb der Rechtsordnung einräumen, würde man damit nicht den Kern des unterschiedlichen Regulierungsverständnisses treffen (Rheinstein 1987, S. 97). Das Wesen liegt meiner Ansicht nach vielmehr in der unterschiedlichen Konzeption auf der Suche nach Gerechtigkeit. Nach deutschem Verständnis versucht man diese durch die Bindung des Gerichts und der Verwaltung an ein auf demokratischer Grundlage zustande gekommenes Gesetz zu erreichen. Der Gesetzgeber selbst ist wiederum an ein Gesetz gebunden, das die Grundlagen der Gesellschaft regelt. Nach der Idee des Common Law soll Gerechtigkeit vornehmlich dadurch Freundesgabe Büllesbach 2002 Unterschiede im Regulierungsverständnis zwischen der deutschen und der amerikanischen Rechtskultur 277 erreicht werden, dass durch die Regelung des Verfahrens im Einzelfall eine gerechte Entscheidung abgesichert ist (Grasmann 1988, S. 161). Durch gesetzgeberische Entscheidungen kann allerdings Einfluss auf die in das Verfahren einfließenden Wertungen und somit auf seinen Ausgang genommen werden. Im Grunde genommen versuchen beide Rechtsordnungen gerechte Entscheidungen über Verfahrensgarantien abzusichern. Dabei kann die deutsche Sicht eher als eine Top-down-Herangehensweise beschrieben werden, weil der Gesetzgeber versucht, den Rahmen für künftige Entscheidungen vorwegzunehmen. Im Gegensatz dazu stellt sich die US-amerikanische Verfahrensweise eher als eine Bottom-up-Ansicht dar, da zunächst die praktische Rechtsentwicklung beobachtet wird, bevor der Gesetzgeber tätig wird. Plastisch wird diese unterschiedliche Herangehensweise beispielsweise anhand der Datenschutzregulierung. Während in Deutschland durch das Bundesdatenschutzgesetz vom 18. 5. 2001 umfassende Rahmenbedingungen für den öffentlichen und privaten Sektor, ergänzt durch eine Reihe von Spezialvorschriften, geschaffen wurden, finden sich in den Vereinigten Staaten nur bereichsspezifische Regulierungen, wie z. B. für den öffentlichen Bereich, den Finanzbereich oder das Gesundheitswesen. Daneben bestehen einzelne Gesetze für spezielle Anwendungszusammenhänge, wie z. B. für die Ausleihe von Videos, das Kabelfernsehen, Onlinetransaktionen von Kindern unter 13 Jahren, die Verwendung von Ausbildungsunterlagen und Fahrzeuganmeldungen sowie von Telefonaufzeichnungen. Auch die einzelnen Staaten haben eine Vielzahl von Datenschutzgesetzen erlassen, die allerdings ebenfalls in ihrem Anwendungsbereich beschränkt sind (siehe dazu Electronic Privacy Information Center 2001, S. 310 ff.). Auf diese Weise nimmt der Gesetzgeber nur in bestimmten Beziehungen Einfluss auf die rechtlichen Rahmenbedingungen. Ein weiteres Beispiel ist auch die Diskussion über die Schaffung von rechtlichen Rahmenbedingungen zur digitalen Signatur. Während es in Deutschland für die Entwicklung dieser Technologie als unerlässlich angesehen wurde, die rechtlichen Rahmenbedingungen durch den Gesetzgeber vorzugeben, wurde in den USA eine derartige Gesetzgebung eher als hinderlich betrachtet. Vielmehr stand man auf dem Standpunkt, dass man zunächst die Marktentwicklung beobachten und erst dann gesetzgeberisch eingreifen sollte, wenn das sich entwickelte Ungleichgewicht der Marktkräfte dies gebiete (siehe dazu Miedbrodt 2000, S. 111 ff.). 4.1 Deutschland Die oben aufgestellte These, dass sich die beiden Rechtsordnungen in ihrer Methode zur Herstellung von gerechten Entscheidungen unterscheiden, soll im Folgenden näher ausgeführt werden. Nach Art. 20 Abs. 3 GG ist die Gesetzgebung an die verfassungsmäßige Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Recht und Gesetz gebunden. Freundesgabe Büllesbach 2002 278 Miedbrodt Vornehmlicher Maßstab jeder gerichtlichen oder administrativen Entscheidung sind demnach die Gesetze. Die Entscheidungen des Gesetzgebers wiederum müssen sich am Grundgesetz messen lassen, das auf der verfassungsgebenden Gewalt des deutschen Volkes beruht. Das Grundgesetz stellt somit den originären Ausgangspunkt unser Rechtsordnung dar; d.h. dass vor dem Grundgesetz keine rechtliche Bindung bestand (Maunz B and 1 1991, S.16). Die Überprüfung der Vereinbarkeit von Gesetzen mit dem Grundgesetz sowohl in materieller als auch in formeller Hinsicht findet durch das Bundesverfassungsgericht statt (Art. 93 Nr. 2, 2a GG, § 13 Satz 1 Nr. 6, 6a,11 BVerfGG). Damit wird einerseits sichergestellt, dass Gesetze nicht gegen die materiellen Wertungen, die aus dem Grundgesetz folgen, verstoßen. Andererseits gewährleisten die Ausgestaltung des Verfahrens zur Einbringung von Gesetzesbeschlüssen nach Art. 76 Abs. 1 GG, die Vorschriften über die Beteiligung der unterschiedlichsten Gremien nach Art. 76 Abs. 2, 3, 77 Abs. 2 – 4, GG und die Abstimmung über Gesetzesbeschlüsse, dass sowohl die unterschiedlichen Ansichten aus den verschiedensten gesellschaftlichen Gruppen berücksichtigt werden als auch dass sich die demokratisch gewählten Mehrheiten bei der Abstimmung eines Gesetzes widerspiegeln. Auf diese Weise soll erreicht werden, dass Gesetze nur dann Bestandteil der Rechtsordnung werden, wenn sie im Einklang mit dem Gerechtigkeitsverständnis unserer Gesellschaft stehen. Die Befolgung der verfassungsgemäß zustande gekommenen Gesetze wird dadurch sichergestellt, dass jedes nach außen gerichtete Vorgehen der Verwaltung einer gesetzlichen Ermächtigung bedarf (Grundsatz vom Vorbehalt des Gesetzes) (Herzog, Band 1, 2001, Art. 20, Rn. 25). Zum Erlass von Rechtsverordnungen, die ebenfalls als gesetzliche Grundlage von Verwaltungshandeln dienen können, ist die Verwaltung nach Art. 80 Abs. 1 Satz 1 und 2 GG nur dann befugt, wenn Inhalt, Zweck und Ausmaß der erteilten Ermächtigung im Gesetz näher bestimmt sind. Ob diese verfassungsmäßigen Grenzen durch die Verwaltung eingehalten wurden, wird durch die Gerichte kontrolliert. Im Rahmen der Überprüfung der Rechtmäßigkeit einer Verwaltungsentscheidung, die auf eine Rechtsverordnung gestützt war, prüfen die Gerichte inzident auch die Verfassungsmäßigkeit der Rechtsverordnung. Auch die Gerichte haben grundsätzlich die Entscheidung des Gesetzgebers zu respektieren und sind keinesfalls befugt, dessen Entscheidung durch eine eigene zu ersetzen. Selbst in dem Fall, in dem ein Gericht ein nachkonstitutionelles Gesetz für verfassungswidrig hält, kann es das Gesetz nicht einfach unangewendet lassen. Nach Art. 100 Abs. 1 GG hat in einem solchen Fall das Gericht das Verfahren auszusetzen und eine Entscheidung des Bundesverfassungsgerichts zu dieser Frage einzuholen. Nur für den Fall, dass das Bundesverfassungsgericht seine Ansicht bestätigt, darf das Gericht die Anwendung des fraglichen nachkonstitutionellen Gesetzes ablehnen. Lediglich über die Verfassungsmäßigkeit vorkonstitutioneller Gesetze kann ein Gericht aus eigener Machtvollkommenheit entscheiden. Freundesgabe Büllesbach 2002 Unterschiede im Regulierungsverständnis zwischen der deutschen und der amerikanischen Rechtskultur 279 Die seitens des Gesetzgebers getroffenen Regelungen sind überwiegend generell und abstrakt, enthalten unbestimmte Rechtsbegriffe und Generalklauseln. Je nachdem, ob ein Richter den zu entscheidenden Lebenssachverhalt streng oder großzügig würdigt, kann er die Voraussetzungen der Anwendbarkeit einer Rechtsnorm beeinflussen. Hierbei können die seitens der Rechtsprechung entwickelten Grundsätze zum Verständnis einer Norm faktisch eine ähnliche Bedeutung wie Präzendenzfälle erlangen. Da kein Richter will, dass seine Entscheidung durch höhere Instanzgerichte aufgehoben wird, wird er sich bei seiner Urteilsfindung immer an der Rechtsprechung der höheren Instanzen orientieren. Zur Vermeidung von unterschiedlichen Rechtsauffassungen zwischen den Senaten des Bundesgerichtshofes ist nach § 132 Abs. 2 GVG die Anrufung des Großen Senats bzw. die Anrufung der Vereinigten Große Senate vorgesehen. Trotz dieser Rolle, die der Rechtsprechung im Rahmen ihrer Subsumtionsarbeit für die Rechtsentwicklung beizumessen ist, ist es immer noch der Gesetzgeber, der den rechtlichen Rahmen setzt. Die Auslegung durch die Rechtsprechung findet grundsätzlich ihre Grenze am Wortlaut (Larenz 1991, S. 343). Nur in sehr eng begrenzten Ausnahmefällen kann die Auslegung über den Wortlaut hinaus im Rahmen der gesetzesimmanenten (vgl. hierzu Larenz 1991, S. 370ff.) oder der gesetzesübersteigenden Rechtsfortbildung (vgl. hierzu Larenz 1991, S. 413 ff.) erfolgen. 4.2 Vereinigte Staaten von Amerika Anders als nach deutschem Verständnis versucht das US-amerikanische Rechtssystem von seiner Zielrichtung her, gerechte Entscheidungen in erster Linie durch die Absicherung eines fairen Verfahrens zu erreichen. Es besteht generell eine gewisse Zurückhaltung vor der Aufstellung allgemein abstrakter materieller Rechtsgrundsätze, die nicht aus der Anwendung praktischer Rechtsfälle folgen. Vielmehr liegt dem Common Law die Idee zugrunde, dass mit jeder Einzelentscheidung die Zukunft gestaltet werden kann und muss (Fikentscher 1975, S. 469). Sehr häufig finden sich in Entscheidungen Hinweise, man müsse so und nicht anders entscheiden, weil sonst in Zukunft die Rechtsentwicklung so oder so verlaufe. Radbruch (zitiert in Fikentscher 1975, S. 464) hat die Grundlagen des Common Law anhand des englischen Rechts sehr zutreffend beschrieben: »Die Art des englischen Denkens kann mit den Worten Empirismus oder Induktion gekennzeichnet werden. Englischem Denken liegt es nicht, die Tatsache mittels der Vernunft zu vergewaltigen, es sucht die Vernunft in den Dingen, Vernunft ist ihr ›Natur der Sache‹. Der englische Tatsachensinn liebt es auch nicht, Entschlüsse zu gründen auf die Erwartung künftiger Tatsachen – er lässt die Tatsachen an sich herankommen, um sich erst dann zu entscheiden, wenn sie da sind. Er traut weder der Phantasie noch der Berechnung künftiger Situation – die wirkliche Situation ist ja immer ganz anders; er wartet vielmehr, Freundesgabe Büllesbach 2002 280 Miedbrodt bis die Situation selbst die Entscheidung bringt, zur Entscheidung zwingt. Er fühlt sich nicht zur Konsequenz verpflichtet, zur Fortsetzung des falschen Weges, bloß weil er einmal betreten wurde, nicht verpflichtet zur Eleganz der klaren Linie, zur Vermeidung eines unschönen Zickzackkurses, er hält sich vielmehr unvoreingenommen dem Gebote jeder neuen Stunde offen ...« Aus diesem Denken folgt, dass das Verfahren der Einzelentscheidung geeignet sein muss, um zu einem gerechten Ergebnis zu gelangen. Dies lässt sich nach anglo-amerikanischer Vorstellung am besten dadurch erreichen, dass man es den Parteien gestattet, in einer kämpferisch-agitatorischen Bemühung ihre jeweiligen Standpunkte bewusst einseitig geltend zu machen, dies unter bloß passiver Assistenz des Richters, der im Wesentlichen nur über die Einhaltung der Verfahrensregeln zu wachen hat (Zweigert/Kötz 1984, S. 317; Hay 2000, S. 74). Insoweit wird der Grundsatz des »adversary procedure« mit besonderer Strenge praktiziert. Dies beruht insbesondere darauf, dass in den Vereinigten Staaten auch Zivilprozesse in erster Instanz noch vor Geschworenengerichten verhandelt werden, soweit der geltend gemachte Anspruch seine Grundlage im Common Law findet. Die Entscheidungskompetenz der Geschworenen geht dabei viel weiter als die der Schöffen im deutschen Strafprozess. Sie entscheiden nicht nur darüber welche Tatsachen als bewiesen angesehen werden, sondern auch über die Anwendung der Rechtsregeln, z. B. ob ein bestimmtes Verhalten als fahrlässig anzusehen ist oder ein Mitverschulden vorliegt. Um in Geschworenenprozessen eine unsachgemäße Beeinflussung der Jury durch die Anwälte auszuschließen, entscheidet der Richter auf der Grundlage eines komplizierten Netzwerkes von Beweisregeln, den sogenannten »rules of evidence« (Zweigert/Kötz 1984, S. 319; Hay 2000, S. 75). Auf diese Weise hält das Recht gewissermaßen Instrumente bereit, um zu einer gerechten Lösung zu gelangen. Mit Mitteln des Rechts wird gefragt, was Rechtens ist. Das bedeutet nicht das Fehlen einer Rechtsphilosophie, sondern ihre Bejahung unter methodischer Funktionalisierung (Fikentscher 1975, S. 460). Auch die zu beobachtende Zunahme der Gesetze nimmt dem anglo-amerikanischen Recht keineswegs diesen Charakter. Es werden keine Gesetzesbücher nach kontinentaleuropäischer Manier geschaffen. Die Rechtsfortbildung bleibt wesentliche Aufgabe der Gerichte. Die Funktion der Legislative wird allgemein darin gesehen, einzelne Rechtsprobleme zu regeln, nicht aber eine fundamentale Änderung des Common Law herbeizuführen. Insofern eröffnet das Parlament den Gerichten eher lediglich neue Möglichkeiten und zeichnet eher neue Linien vor, als dass es selbst neues Recht schafft (Will 1988, S. 454). Auch sind die Gesetze erst dann in das amerikanische Rechtssystem wirklich eingegliedert, wenn sie von den Gerichten ausgelegt und angewendet worden sind, so dass man sich zur Lösung eines Rechtsproblems nicht mehr auf die Gesetze selbst berufen muss, sondern die Gerichtsentscheidungen auf der Grundlage der Gesetze heranziehen kann (Cloidt 1988, S. 508f.). Etwas anderes gilt lediglich für die Verfassung der Vereinigten Staaten, die die Grundlagen der Gesellschaft selbst festlegt. Freundesgabe Büllesbach 2002 Unterschiede im Regulierungsverständnis zwischen der deutschen und der amerikanischen Rechtskultur 281 Einen wesentlichen Einfluss auf die Entwicklung des materiellen Rechts haben somit die organisatorische Verfassung der Gerichte, die Richterauswahl und die Art und Weise des Argumentierens vor den Gerichten (Fikentscher 1975, S. 259). 5. Zusammenfassung Auch wenn sich die Verhältnisse zwischen gesetztem und nicht gesetztem Recht in beiden Rechtskulturen wesentlich genähert, die Bindungen der Instanzgerichte an die Entscheidungen der oberen Gerichte faktisch eine ähnliche Autorität erlangt und die zu lösenden wirtschaftlichen und politischen Aufgaben zu vergleichbaren Lösungen geführt haben, so bestehen doch unverkennbare Unterschiede in der Regulierungskultur. In Deutschland geht die juristische Gedankenführung von dem schriftlich niedergelegten Rechtsmaterial aus, das aus Gesetzen und Verordnungen besteht. Auch wenn dieses durch Auslegung konkretisiert und ergänzt werden muss, so bildet doch das durch den Gesetzgeber gesetzte Recht den Rahmen zur Lösung eines Rechtsproblems. Damit die Anwendung dieses gesetzten Rechts zu einer gerechten Entscheidung führt, enthält das deutsche Recht Verfahrensgarantien für den Erlass von Gesetzen und Rechtsverordnungen. Anders verhält es sich nach US-amerikanischem Regulierungsverständnis. Da in diesem Recht der Rechtsprechung eine überragende Rolle bei der Rechtsfortbildung zukommt, enthält das Recht Garantien, damit der Ausgang eines Rechtsstreits zu einer gerechten Entscheidung führen kann. Literatur Blumenwitz, D., Einführung in das anglo-amerikanische Recht, 6. Auflage, München 1998. Cloidt, J., Das Recht der Vereinigten Staaten von Amerika, in: Grasmann, D. (Hrsg.): Einführung in die großen Rechtssysteme der Gegenwart, 2. Auflage, München 1988, S. 501. Constantinesco, L.-J., Rechtsvergleichung, Band I, II, Köln, Berlin, Bonn, Mannheim 1971. Grasmann, D., Die römisch-germanische Rechtsfamilie Rechtsquellen und Kräfte, die in der römisch-germanischen Rechtsfamilie an der Schaffung und Fortentwicklung des Rechts mitwirken, in: Grasmann, D. (Hrsg.): Einführung in die großen Rechtssysteme der Gegenwart, 2. Auflage, München 1988, S.155. Electronic Privacy Information Center, Privacy and Human Rights 2001 An International Survey of Privacy Laws and Developments, Washington DC, USA, 2001. Fikentscher, W., Methoden des Rechts in vergleichender Darstellung, Band II Anglo-Amerikanischer Rechtskreis, Tübingen 1975. Freundesgabe Büllesbach 2002 282 Miedbrodt Hay, P., US-Amerikanisches Recht, München 2000. Herzog, R. in: Maunz, T., Dürig, G. (Hrsg.), Grundgesetz Kommentar, Band 1, Art. 1 – 11, München 2001. Larenz, K. Methodenlehre der Rechtswissenschaft, 6. Auflage, Berlin, Heidelberg, New York, London, Paris, Tokyo, Hong Kong, Barcelona, Budapest, 1991. Maunz, T. in: Maunz, T., Dürig, G. (Hrsg.), Grundgesetz Kommentar, Band 1, Art. 1 – 11, München 2001. Miedbrodt, A., Signaturregulierung im Rechtsvergleich Ein Vergleich der Regulierungskonzepte in Deutschland, Europa und in den Vereinigten Staaten von Amerika, Baden-Baden, 2000. Rabel, E., Dt. und amerikanisches Recht, RabelsZ 16 (1951), S. 340. Rheinstein, M., Einführung in die Rechtsvergleichung, München 1987. Will, Das englische Recht, in: Grasmann, D. (Hrsg.): Einführung in die großen Rechtssysteme der Gegenwart, 2. Auflage, München 1988, S. 421. Zajtay, I., Begriff, System und Präjudiz in den kontinentalen Rechten und im Common Law, AcP 165 (1965), S. 1ff. Zweigert, K. Kötz, H., Einführung in die Rechtsvergleichung auf dem Gebiete des Privatrechts, Band I: Grundlagen, Tübingen 1984. Freundesgabe Büllesbach 2002 283 Peter J. Hustinx Co-regulation or self-regulation by public and private bodies – the case of data protection 1. Introduction In his whole career, Alfred Büllesbach has demonstrated a great capacity for combining or switching from different disciplines, social sectors, national environments and so on. In most of these situations, he not only demonstrated great skills in the subject at hand, but above all impressed observers with a unique combination of boundless energy and catching enthusiasm which has left its marks on all those who crossed his path. This seems to provide the ideal inspiration for a reflexion on one of the areas he has been active in – i.e. data protection from an international and cross-sectoral point of view, but with a solid base. In this case, the solid base is in the Netherlands and the question was how to develop a combination of means to improve the effectiveness of data protection. This article sets out to present the main lines of the constitutional framework within which »data protection« or the protection of personal data has developed in the Netherlands. Against this background, it discusses the reasons why and the different ways in which self-regulation has played its role in that development. The article then focuses on the structure of the Data Protection Act and on the ways in which the Data Protection Authority has interpreted its role in that context and is planning to proceed in the near future. 2. Constitutional framework It should be realised at the start that the Netherlands has traditionally been very open minded towards international law and legal developments in the international scene. Article 93 of the Dutch Constitution provides that terms of international agreements which can be applied directly, have such binding force after the publication. Article 94 of the Constitution provides that where the application of a certain legal provision would be incompatible with a binding provision of an international agreement, the latter must always prevail. In legal and political discussions on privacy and data protection, this has resulted in an early and frequent use of Article 8 of the European Convention on Human Rights (ECHR): Article 8 1. Everyone has the right to respect for his private and family life, his home and his correspondence. Freundesgabe Büllesbach 2002 284 Hustinx 2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others. Although the precise scope of the right to privacy as described here is still uncertain, there can be no doubt that it at least covers information of a more sensitive or intimate nature. This implies that any interference by a public authority is only allowed under the conditions laid down in the second paragraph. Any such interference should be »in accordance with the law« and should also be »necessary in a democratic society« for certain purposes. In its case law, the European Court of Human Rights has developed criteria for the quality of national laws and the need to provide for certain measures. The latter should be »proportional« to a pressing social need and where necessary accompanied by »additional safeguards« against abuse. In addition to the »negative« protection against undue interference by public authorities, the Court has developed the idea that there is also a »positive« obligation to provide a sufficient legal protection against undue interference by others. In the early 1970’s the Council of Europe came to the conclusion, that Article 8 ECHR had a number of defects in the light of new developments, particularly in the area of information technology. The uncertain scope of the term »private life« could create problems where the information was less sensitive. The limitation to »public authorities« seemed to overlook the possibility of interference by »private interests«. It was also felt that more positive action was required. This resulted in 1981 in the adoption of the Convention on Data Protection, laying down the basic principles for data protection, which later served as the conceptual starting point for Directive 95/46/EC, now the dominant instrument in this area. Article 10 of the Dutch Constitution, adopted in 1983, carefully reflects this development. The first paragraph provides for a right of everyone to respect for his privacy, subject to restrictions provided in or by virtue of an Act of Parliament. This latter element is somewhat stricter than Article 8 ECHR which applies in other respects. The second and third paragraph of Article 10 provide for further safeguards for the protection of privacy with regard to the processing of personal data. These provisions are still at the basis of the national legislation which now implements the Directive. 3. The role of self-regulation It is often overlooked that »self-regulation« is nothing new, but actually nothing more or less than the »default position« of the way in which most problems are solved in an orderly society. If legislation or other forces do not intervene, it is self-regulation by which individuals and organisations handle their interests. Freundesgabe Büllesbach 2002 Co-regulation or self-regulation by public and private bodies – the case of data protection 285 In discussions about privacy and data protection, the concept of »self-regulation« has also been used in a more strategic way. Initially, the possibility of self-regulation is often advanced as a means of preventing or postponing legislation. In a more positive sense, self-regulation can be used as a means to experiment and to prepare for legislation in a flexible way. A third option is that self-regulation serves as a sector-specific way to implement legislation and to avoid too much detail in the legislation itself. A fourth option is that self-regulation can serve as a way to provide solutions beyond the scope of the existing legislation, which may or may not result in a new cycle of policymaking along the lines mentioned before. When a Dutch Royal Commission reported on the need for data protection legislation in the mid 1970’s, it suggested that self-regulation should play its part, at least during the long phase in which this legislation was to be developed. In retrospect, the commission could hardly have been more right. It took almost fifteen years and three draft bills, before the Data Protection Act of 1988 was finally adopted. Most of this long period was spent on »methods« rather than on »substance«: the question how data protection law could be made effective without much bureaucracy. By the time the legislation was adopted, self-regulation in various sectors and on different levels of government had developed into a standard practice, both in the public and in the private sector. The Data Protection Act took this on board in two ways. On sector level the Act provided for the possibility to develop a code of conduct as means of implementation and to request the Data Protection Authority for its approval. The decision of the authority was non-binding, but in practice often seen as a seal of good quality. Under this regime, twelve codes of conduct have been officially approved, which covered major sectors like banking and insurance, direct marketing, health and pharmaceutical research. The relevant provision of the Act served as a model for Article 27 of Directive 95/46/EC, which provides for implementation via sectoral codes of conduct, both on the national and on the European level. The Data Protection Act also provided for regulations on an organisational level in the public sector. This feature did not return in the new Data Protection Act, which entered into force in September 2001. The sectoral codes of conduct still enjoy a considerable degree of popularity. Most of the existing codes are currently under revision for adaptation to the new legislation. 4. Data Protection Authority The present Data Protection Act covers both the public and the private sectors, with only very few exceptions. Some specific areas, like the population files and the police, are covered by special legislation, which derogates from the general scheme. However, many other fields of activity are affected by legal provisions, which coincide with the general legislation and give it additional Freundesgabe Büllesbach 2002 286 Hustinx substance. The implementation of the Directive required a general revision of this other legislation in order to make it fully compatible. What resulted from this exercise is a mixture of continuity and change. The most important difference on a technical level is the replacement of the concept of »personal data file« by the »processing of personal data«. This shift is more in line with the development of technology, but also allows ‘data processing’ to be regulated more closely. Among the substantial changes are a greater emphasis on transparency, new rights for data subjects (i.a. right to object), and additional powers of enforcement for the Data Protection Authority. It now has the power to impose administrative fines, in cases of non-notification, and to exercise coercive measures in other cases of noncompliance. This second possibility is a last resort which may be necessary where data subjects or organisations acting on their behalf, like consumer or trade unions, do not reach an acceptable result. Both in the previous and in the present Act, the Data Protection Authority has found itself competent to deal with a variety of tasks and subjects in an area which essentially covers all sectors of society, and certainly all those in the field of »information intensive services«. In order to invest its resources in the most productive way, the Authority has decided to structure its activities along four »policy tracks«: raising awareness, development of norms, information technology and enforcement. Together, these tracks can be regarded as a quality cycle which can be employed to enhance data protection in different sectors and individual organisations. In other words, it is a »strategic model« used by the Authority to develop its own policies and to measure the quality of data protection in organisations. Different forms of communication are used to reach various »target groups« and to help raise their awareness of privacy issues. The Authority’s website is the central part of its strategy which should allow individual organisations and intermediary organisations to find what they need to make informed choices on privacy related issues. The development of norms takes place in preliminary surveys on different subjects, advice to government departments and parliamentary commissions on new legislation, discussions with various sectors of industry about new codes of conduct, and in formal decisions on individual cases about new or important questions. The result of this work is made available to the public and to interested organisations by means of different publications. It is almost common place by now to say that information technology not only leads to new challenges for privacy and data protection, but also offers a number of solutions to solve or to reduce these problems. That is why the Authority made early investments in the development of Privacy Enhancing Technologies (PET) and is still making substantial efforts to promote the use of these technologies at the earliest possible stage. In this context, the emphasis is on »Privacy by Design«. The final test of data protection is the degree in which it is followed in practice and enjoyed by data subjects. Privacy audits and other kinds of systemaFreundesgabe Büllesbach 2002 Co-regulation or self-regulation by public and private bodies – the case of data protection 287 tic research are means to measure to what extent that goal is reached. Together with professional organisations and EDP audit firms, the Authority has developed standard tools to measure data protection compliance. The explicit aim of this project was to allow the »market« to provide and employ services which responsible organisations need to ensure compliance and which can also be built upon by the Authority. The new enforcement powers of the Authority only emphasized the need for this development. The four »policy tracks« indicated here are developed in annual programs and evaluated on a permanent basis. Standard business is usually dealt with in a »front office« and special cases or projects are handled in the »back office«. The Authority reserves a certain part of its resources to deal with incoming requests and another part to initiate priorities of its own. No one should be surprised that »organisation and inspiration« go together, in this field as much as elsewhere. 5. Policy perspectives In its latest policy plan, its first under the new Data Protection Act, the Authority has decided to continue and deepen its overall policy, which is based on an integrated approach of data protection, using all legal, technical and other appropriate means to ensure that the rights and freedoms of citizens in an information society are respected. However, the plan also contains some new elements which are relevant to the subject of this contribution. The Authority emphasizes the responsibility of government and business for adequate data protection, as well as the right of data subjects to make the best use of their opportunities under the new Act. At the same time, data protection is perceived more and more as »critical success factor« for other important projects in our society, which range from e-government and ehealth to e-commerce. Moreover, other organisations act as institutional safeguards in specific contexts, like consumer organisations and trade unions. The most effective policy for data protection authorities is therefore in many cases not to act directly, but rather to have other »stakeholders« act in the right direction. In this light, the Authority intends to emphasize its role as a ‘second line’ institution, whenever possible. In that capacity it will be in a better position to concentrate on subjects which require its primary attention and for which it has been given special powers and resources. What emerges is »coregulation« with other players in the field of data protection. It is obvious that the Authority needs to be able to act and be both selective and flexible, in order to play its role in this context. A second element in this approach is that the Authority will give more attention to various ways of systematic monitoring and is ready to enforce the law where that turns out to be necessary. This means a gradual shift to activities in the latter area and requires an internal separation of work in order to isolate education and consultancy from investigation and enforcement. The ideal Freundesgabe Büllesbach 2002 288 Hustinx strategy would be to keep resources in the former area at the present level and to develop new resources in the latter. A »second line« institution should be in a position to deal with the more complicated questions that reach its desks. At the same time, the development of an adequate capacity for investigation and enforcement is crucial for the long term success of self-regulatory and coregulatory approaches. 6. Final remarks The primary purpose of this contribution is to give information about the way in which data protection has developed and is still developing in the Netherlands. A secondary purpose is to stimulate reflexion and discussion on a question that should permanently »bother« all data protection authorities: i.e. how to be most effective. Other data protection authorities will have their own experience. However, it is quite clear that all of them are heading for »even more interesting times«. Exchanges of experience and co-operation between offices will be necessary as never before. Freundesgabe Büllesbach 2002 289 Ulf Brühann Selbstregulierungsinstrumente zur Liberalisierung des Datenexports 1. Warum Datenexportregeln? Alle Studien zum Datenschutz belegen, dass die Entwicklung zur Informationsgesellschaft eine weltweite Welle von Datenschutzregeln ausgelöst hat. Die vorerst jüngste Übersicht dieser Art wurde von der internationalen Anwaltsfirma White & Case LLP auf dem Global Privacy Symposium in New York am 30. 4. 2002 vorgelegt (http://www.whitecase.com/report_global_ privacy.pdf). 15 Länder wurden einer vergleichenden Analyse ihrer Datenschutzsysteme unterzogen. Alle hatten gesetzliche Regelungen, und in acht von ihnen wurden Änderungen vorbereitet. »Es gibt eine anhaltende Flut von gesetzlichen und anderen Vorschriften, die die Nutzung von Wirtschaftsdaten von Unternehmen reguliert.« »Dies betrifft alle Wirtschaftsbereiche, aber die Tatsache, dass es sich um einen weltweiten Trend handelt, heißt nicht, dass die Regelungen einheitlich oder mindestens konform wären. Für multinationale Unternehmen bedeutet die Notwendigkeit der Beachtung aller dieser Regeln ständige Wachsamkeit und besondere Aufmerksamkeit.« Soweit die Vorstellung der Ergebnisse der Studie (http://www.whitecase.com/pr_wc_ privacy_law_survey.html). Die Informationsgesellschaft hat aber nicht nur Aktivität des Gesetzgebers ausgelöst. Internationale Organisationen wie der Europarat und die OECD haben die Anwendbarkeit ihrer allgemeinen Instrumente auf die Verarbeitung personenbezogener Daten insbesondere im Internet und elektronischen Handel überprüft. Der Europarat hat beispielsweise eine Empfehlung verabschiedet zum Datenschutz auf dem Internet (http://www.legal.coe.int/dataprotection/Default.asp?fd=general&fn=InstrumentsE.htm). Die Ministerkonferenz der OECD hat auf ihrer Tagung 1998 in Ottawa aus einer detaillierten Überprüfung die Schlussfolgerung gezogen, dass die allgemeinen Datenschutzprinzipien auch für den elektronischen Handel volle Anwendung finden und beschlossen, die notwendigen Schritte einzuleiten, um sicherzustellen, dass die Leitlinien der OECD zum Datenschutz in globalen Netzwerken effektiv angewandt werden (Declaration on the protection of privacy on global networks made by OECD Ministers at the Conference »A borderlesss world: Realising the potential of global electronic commerce«, 7 – 9 October 1998, Ottawa, Canada, DSTI/ICC/REG(98)10/FINAL v. 22.12.1998). Darüber hinaus ist der Datenschutz zu einem der wesentlichen Bereiche geworden, für den sich die interessierten Kreise der Wirtschaft über die Notwendigkeit von Selbstregulierungselementen verständigt haben. Schon im sogenannten Bangemann-Bericht wurde die Verbindung geknüpft zwischen einem wirksamen Datenschutz und der effektiven Entwicklung des elektronischen Handels. Diese Gruppe Vertreter europäischer Industrie unter dem Vorsitz des Vizepräsidenten der Kommission, Dr. Martin Bangemann, verFreundesgabe Büllesbach 2002 290 Brühann abschiedete einen Bericht an den Europäischen Rat, in dem festgestellt wird dass der Datenschutz eine der wesentlichen Voraussetzungen ist für die Akzeptanz der Dienste der Informationsgesellschaft und deren wirtschaftliche Entwicklung (»The Group believes that without the legal security of a Unionwide approach, lack of consumer confidence will certainly undermine the rapid development of the information society. Given the importance and sensitivity of the privacy issue, a fast decision from Member States is required on the Commission's proposed Directive setting out general principles of data protection.« http://europa.eu. int/ISPO/infosoc/backg/bangeman.html). Im Transatlantischen Wirtschaftsdialog (TABD) wurde ausdrücklich bekräftigt, dass effektive Datenschutzregeln für die Entwicklung des elektronischen Handels erarbeitet werden sollten (»Industry should continue to develop mechanisms for privacy protection parallel to the evolution of electronic commerce«, http://www.tabd.org/recommendations/Berlin99.pdf). Im Weltweiten Wirtschaftsdialog wurden bereits erste Entwürfe für ein Selbstregulierungsinstrument mit weltweiter Anwendbarkeit diskutiert (http:// consumerconfidence.gbde.org/protection.html). Auch die G8 haben eine »Okinawa Charter on Global Information Society« angenommen, in der die Entwicklung effektiver und sinnvoller Instrumente zum Schutz personenbezogener Daten angemahnt wird und eine gemischte Arbeitsgruppe »Digital Opportunity Task Force« (DOT) eingesetzt, die Vertreter von Regierungen, Wirtschaft und Wissenschaft auf weltweiter Basis zusammenbringt (http://www.dotforce.org/reports/it1.html). Fast alle dieser Instrumente enthalten Regelungen zum Datenexport. Ziel dieser Regelungen ist, den Export von geschützten personenbezogenen Daten aus dem räumlichen und sachlichen Geltungsbereich des jeweiligen Schutzinstruments heraus zu beschränken und nur zuzulassen, soweit sonstige Garantien für den Schutz der Daten nach der Übermittlung in einen ungeschützten Empfängerbereich sichergestellt sind. Es ist ein Paradox der Entwicklung zur Informationsgesellschaft, dass sie sowohl den Grund für eine solche Regelung als auch die Schwierigkeit seiner Durchsetzung verstärkt hat. Daten können ohne größere Schwierigkeiten und Kosten auf im Ausland gelegene Verarbeitungsmittel übertragen, dort frei von den Anforderungen des inländischen Datenschutzes weiterverarbeitet und wieder in das Inland reimportiert werden. Inländische Kontrollinstanzen betonen die Schwierigkeiten einer grenzüberschreitenden Durchsetzung inländischer Datenschutzgrundsätze und reagieren oft defensiv, indem sie sich für die grenzüberschreitenden Verarbeitungsvorgänge oft nicht für zuständig halten. Die Gründe für eine solche Internationalität der Datenströme können vielfältiger Art sein, insbesondere von Gesichtspunkten der Kosten für die Arbeitsfaktoren in einem Drittland beeinflusst sein, so dass in diesen Fällen nicht automatisch eine Absicht der Umgehung der nationalen Regeln unterstellt werden kann. Wird es möglich, die Anwendung nationaler Regeln durch Nutzung der Möglichkeiten der dezentralen Struktur der Datenverarbeitung in der Informationsgesellschaft und insbesondere des Internet zu vermeiden, so Freundesgabe Büllesbach 2002 Selbstregulierungsinstrumente zur Liberalisierung des Datenexports 291 verliert die Territorialität der Verarbeitung ihre Bedeutung bei der Kontrolle und vor allem der Durchsetzung der Einhaltung der Regeln. Daraus entwickel sich aber ein Problem der generellen Akzeptanz inländischer Datenschutzanforderungen, wenn im übrigen ausländische Unternehmen, die nicht denselben Zwängen unterliegen, ohne Schwierigkeiten Daten im Inland erheben oder sich sonst übermitteln lassen können und mit inländischen Unternehmen in direkten Wettbewerb treten können. Schließlich weist auch der menschenrechtliche Ansatz des Datenschutzes, der keinen Unterschied nach Nationalität zulässt, in dieselbe Richtung. Angesichts dieses Befundes, nämlich der aus guten Gründen in vielen Staaten bestehenden rechtlichen Beschränkungen des internationalen Datentransfers, ist die Rolle von Selbstregulierungsinstrumenten der Wirtschaft zu untersuchen. Es liegt auf der Hand, dass solche Instrumente im Hinblick auf ihre Charakteristik der Freiwilligkeit nicht geeignet sind, Beschränkungen, die auf rechtlichen Instrumenten beruhen, abzubauen: Gesetze können nur durch ebensolche modifiziert werden. Dennoch sollte Platz für Selbstkontrollinstrumente innerhalb des gegenwärtigen, durch die Existenz rechtlicher Instrumente charakterisierten Systems sein. Verhaltenskodices könnten erstens die Anwendung allgemeiner Datenschutzprinzipien im Hinblick auf bereichsspezifische Verarbeitungen präzisieren. Verhaltenskodices könnten zweitens den Gesetzgeber veranlassen, die Regelungsdichte zu senken, indem sie den Mangel an Datenschutz durch staatliche Maßnahmen in Drittstaaten kompensieren. Beide Fälle haben unterschiedliche Ausgangspunkte und Zielsetzungen und benötigen deshalb ein unterschiedliches Instrumentarium. Im ersten Fall ergänzen Selbstkontrollinstrumente bestehende rechtliche Regeln im innerstaatlichen Bereich. Sie können sie deshalb voraussetzen, brauchen sie nicht zu wiederholen und können sich ganz auf die Einzelfragen bei der Anwendung der Prinzipien im Hinblick auf die Besonderheiten der Wirtschaftsbereiche konzentrieren. Auch die Durchsetzung der freiwilligen Regeln könnte in diesem Fall den gesetzlichen Grundsätzen folgen. Wenn die freiwilligen Regeln die Anwendung der allgemeinen rechtlichen Grundsätze präzisieren, könnten sie auch an ihren Durchsetzungsmechanismen teilnehmen. Ganz anders die Regeln zur Kompensation mangelnder verbindlicher staatlicher Datenschutzregeln in einem Drittland. Sie müssen alle wesentlichen Elemente eines kompletten Datenschutzsystems enthalten und darüber hinaus selbst Mechanismen für ihre Durchsetzbarkeit schaffen, insbesondere den betroffenen Personen die Geltendmachung ihrer Rechte ermöglichen. Außerdem könnten sie zusätzliche bereichsspezifische Regeln wie oben beschrieben enthalten. Dieser Fall ist im Zusammenhang mit Artikel 26 der Richtlinie 95/46/EG zu untersuchen, während der erste Fall davon zu unterscheiden ist und in Artikel 27 behandelt wird. Freundesgabe Büllesbach 2002 292 Brühann 2. Welche Exportdatenregeln? Zunächst darf nicht vergessen werden, dass der Datenverkehr innerhalb der gegenwärtig 15 Mitgliedstaaten der Gemeinschaft sowie den Staaten des EWR (Norwegen, Island, Liechtenstein) auf der Basis der Garantie eines gleichwertigen Schutzniveaus durch Harmonisierung der Datenschutzgesetze in allen diesen Ländern durch die Richtlinie 95/46/EG selbst bereits liberalisiert ist. Artikel 1 Abs. 2 der Richtlinie sieht ausdrücklich vor, dass die Mitgliedstaaten den freien Verkehr personenbezogener Daten zwischen ihnen nicht aus Gründen des Datenschutzes beschränken oder untersagen. Die EU-Datenschutzrichtlinie eröffnet grundsätzlich drei Wege zur Liberalisierung des internationalen Datenverkehrs: erstens die inländische oder gemeinschaftliche Anerkennung der Existenz eines angemessenen Datenschutzniveaus seitens des Datenimporteurs, zweitens die inländische oder gemeinschaftliche Anerkennung der Erbringung angemessener Garantien für den Schutz der Daten nach ihrer Übermittlung seitens des Datenexporteurs, und drittens die Feststellung einer Situation, in der nach Einschätzung in der Richtlinie selbst das Risiko für die Privatsphäre der betroffenen Person auch nach der Übermittlung typischerweise gering ist. 2.1 Die besonderen Situationen, in denen die Richtlinie das Risiko für die Privatsphäre des Einzelnen auch nach Übermittlung als gering ansieht, können in diesem Zusammenhang vernachlässigt werden, weil sie nicht auf die Existenz von Selbstregulierungsinstrumenten abstellen. 2.2 Die Angemessenheit des Datenschutzes in einem Drittstaat, in dem der Empfänger der übermittelten Daten niedergelassen ist, ist anhand der in Artikel 25 Abs. 2 der Richtlinie genannten Merkmale des konkreten Transfers und des Schutzes im Drittland durch allgemeine Rechtsnormen, sektorelle Rechtsnormen, Standesregeln und Sicherheitsmaßnahmen zu beurteilen. 2.3 Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte kann auch der für die Übermittlung Verantwortliche beibringen. Die Richtlinie erwähnt insbesondere entsprechende Vertragsklauseln, lässt aber damit auch andere Möglichkeiten offen. Freundesgabe Büllesbach 2002 Selbstregulierungsinstrumente zur Liberalisierung des Datenexports 293 Es ist deshalb zu fragen, welche Rolle Selbstregulierungsinstrumente zur Liberalisierung des internationalen Datenverkehrs nach den beiden letztgenannten Möglichkeiten spielen können. 3. Wann können freiwillige Selbstkontrollen anerkannt werden? 3.1 Selbstregulierungsinstrumente als Teil eines angemessenen Datenschutzsystems im Drittland? Aus dem erwähnten Artikel 25 Abs. 2 der Richtlinie 95/46/EG ergibt sich, dass auch nichtgesetzliche Maßnahmen in einem Drittland bei der Prüfung der Angemessenheit berücksichtigt werden können, sofern diese Regeln effektiv befolgt und durchgesetzt werden. Die Beurteilung ihrer Angemessenheit erfolgt nach denselben objektiven Kriterien, nach denen auch die Angemessenheit gesetzlicher und sonstiger Vorschriften bemessen wird. In den bisherigen Entscheidungen zur Angemessenheit hat die Europäische Kommission zur materiellen Ausfüllung regelmäßig auf die von der Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten entwickelten Grundsätze Bezug genommen. Diese durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe mit beratender Funktion, an deren Beschlussfassung auch Vertreter der deutschen öffentlich bestellten Datenschutzbeauftragten teilnehmen, ist unabhängig und hat u.a. den Auftrag, zum Schutzniveau in der Gemeinschaft und in Drittländern gegenüber der Kommission Stellung zu nehmen. In der Arbeitsunterlage »Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU« (WP 12) vom 24.7. 1998 (http:// europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12de.pdf) hat sie einen funktionalen Ansatz für die Beurteilung der Angemessenheit des Schutzniveaus in Drittländern entwickelt. Ausgangspunkt ist die Tatsache, dass Datenschutzregeln nur dann zum Schutz der Grundrechte und -freiheiten, und insbesondere der Privatsphäre, beitragen können, wenn sie in der Praxis befolgt werden. Deswegen muss jede ernsthafte Analyse des Datenschutzniveaus zwei Elemente umfassen: den Regelungsinhalt und die Durchsetzung der Regeln. Ausgehend von einer Analyse der Risiken für die Privatsphäre des Einzelnen nach Übermittlung seiner personenbezogenen Daten in ein Drittland und unter Berücksichtigung der international anerkannten Grundsätze des 1 Datenschutzes entwickelte die Gruppe einen Kern inhaltlicher Prinzipien sowie Anforderungen an ihre effektive Durchsetzung. Diese materiellen Grundsätze enthalten die Zweckbestimmung und -bindung, Datenqualität und -verhältnismäßigkeit, Transparenz, Sicherheit, Auskunfts-, Widerspruchs- und Berichtigungsrechte, Drittlandtransfers sowie gegebenenfalls sensitive Daten, Direktmarketing und automatisierte Entscheidungen. Freundesgabe Büllesbach 2002 294 Brühann Die Effektivität der Durchsetzung soll daran gemessen werden, ob erstens eine gute Befolgungsrate gewährleistet wird, ob zweitens den einzelnen betroffenen Personen Unterstützung und Hilfe zuteil wird und ob drittens eine angemessene Entschädigung bei Verstoß gegen die Bestimmungen gewährleistet wird. Dieser funktionale Ansatzpunkt erlaubt eine Analyse des jeweiligen Schutzsystems in einem Drittland unabhängig von seiner Art und Rechtsnatur. Er ist deshalb auch grundsätzlich auf Selbstregulierungsinstrumente anwendbar. Artikel 25 Abs. 2 der Richtlinie nennt selbst »Standesregeln« als mögliches Element der Angemessenheit des Schutzniveaus in einem Drittland. Allerdings ist deren Charakteristikum, dass sie durch staatliche Maßnahmen im Drittstaat abgesichert und für eine repräsentative Anzahl von Empfängern von Daten einer Berufsgruppe oder eines Wirtschaftsbereichs verbindlich sind. Der US-Safe Harbor erfüllt diese Voraussetzungen. Die Mitgliedstaaten unterstützten einstimmig einen entsprechenden Vorschlag einer Entscheidung der Kommission über die Angemessenheit des durch den Safe Harbor erbrachten Datenschutzes, die am 27.6.1998 angenommen wurde (http://europa.eu.int/comm/internal_market/en/dataprot/news/decision_de.pdf). Das System ist offen für alle im Inland niedergelassenen Organisationen, die ihm beitreten wollen und die Voraussetzungen erfüllen (insbesondere der Aufsicht mindestens einer staatlichen Behörde unterliegen, die Befugnisse zur Sicherstellung der Einhaltung der Regeln hat und diese effektiv einsetzt). Es basiert auf der freiwilligen Akzeptanz von Verhaltensregeln durch solche Organisationen, ohne dass sie die Regeln abändern oder für die Vergangenheit aufsagen können. Zur Sicherstellung angemessener Maßnahmen zur Durchsetzung ist zwingend vorgesehen: eine (externe oder interne) periodische Überprüfung der internen Verfahren zur Datenverarbeitung (z.B. in Form eines Audits), ein privates System der Streitschlichtung, das für den Einzelnen leicht zugänglich und kostengünstig sein muss sowie die Existenz einer staatlichen Aufsichtsbehörde, der alle ungelösten Konfliktfälle über die Einhaltung der Regeln vorgelegt werden können und die wirksame Sanktionen im Fall der Nichtbeachtung verhängt. Darüber hinaus müssen die Unternehmen Ersatz im Fall des Eintritts eines auf einer Verletzung der Regeln beruhenden Schadens gewährleisten. Unternehmensregeln, wie sie beispielsweise von der DaimlerChrysler AG erarbeitet und den Aufsichtsbehörden in Deutschland zur Genehmigung vorgelegt worden sind, unterscheiden sich von den Safe-Harbor-Regeln in mehrfacher Hinsicht. Zunächst sind sie für eine weltweite Anwendung konzipiert und nicht in das Rechtssystem eines bestimmten Drittstaates eingebettet. Diese Besonderheit erschwert nicht nur die Zuordnung des Schutzsystems zu einem bestimmten Drittstaat, wie dies in Artikel 25 Abs. 1, 2 der Richtlinie 95/ 46/EG vorausgesetzt wird, sondern führt ferner zu Schwierigkeiten bei der Rückbindung der Kontrolle der Einhaltung der Regeln in ein staatliches Sanktionssystem. Außerdem führt es zu Unsicherheiten über die VerbindlichFreundesgabe Büllesbach 2002 Selbstregulierungsinstrumente zur Liberalisierung des Datenexports 295 keit der Regeln, insbesondere wenn sie von nationalen Vorschriften in positiver oder negativer Hinsicht abweichen. Ferner stehen die Unternehmensregeln nur den selbständigen Unternehmen als Teile eines bestimmten Konzerns zur Verfügung, nicht aber den Unternehmen eines gesamten Wirtschaftsbereichs, geschweige denn allen Organisationen, die ihnen beitreten wollen. Allein aus diesen Gründen können solche Regeln nicht die »Angemessenheit« des Schutzniveaus eines Drittstaates (welchen?) begründen. Aus denselben Gründen scheint eine Einordnung der Unternehmensregeln unter den in Artikel 25 Abs. 2 der Richtlinie enthaltenen Begriff der »Standesregeln« nicht möglich. 3.2 Selbstregulierungsinstrumente als Garantien des Exporteurs? In Artikel 26 Abs. 2 der Richtlinie ist vorgesehen, dass die zuständigen Behörden in den Mitgliedstaaten einzelne Übermittlungen in ein Drittland ohne angemessenes Schutzniveau genehmigen können, wenn der Exporteur der Daten (nota bene nicht das Drittland oder der dortige Empfänger oder Importeur der Daten) ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte beibringt. Diese Garantien können ausdrücklich – aber nicht ausschließlich – durch entsprechende Vertragsklauseln erbracht werden. Damit sind zunächst zweiseitige Verträge angesprochen, in denen sich der Datenimporteur gegenüber dem Datenexporteur verpflichtet, auf die weitere Verarbeitung der übermittelten Daten einen bestimmten Datenschutzstandard anzuwenden und in denen Garantien im Hinblick auf die Durchsetzung der Verpflichtungen des Importeurs der Daten sowie der Rechte der betroffenen Personen enthalten sind, die den oben genannten von der Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten entwickelten Datenschutzgrundsätzen entsprechen. Die Richtlinie schließt aber nicht aus, dass der Datenexporteur andere Arten von Garantien erbringt, soweit sie diesen Anforderungen an angemessenen Inhalt und Durchsetzung Genüge tun. In diesem Zusammenhang könnten Selbstregulierungsinstrumente eine wesentliche und neue Rolle spielen. Unternehmensregeln könnten als interne Regelungen von den jeweiligen nach Gesellschaftsrecht zuständigen Organen für die Organisationen im oder sogar außerhalb des Konzerns verbindlich gemacht werden. Auch wenn keine zweiseitige vertragliche Verpflichtung mit dem Importeur besteht, könnte das jeweilige exportierende Konzernunternehmen im Grundsatz mittels (ggfs. eines Bündels) dieser einseitigen, aber verbindlichen Selbstverpflichtung seitens des Empfängers der Daten Garantien erbringen, sofern diese den Erfordernissen eines angemessenen Schutzstandards genügen. Zum Nachweis dürfte die Vorlage des verbindlichen Beschlusses der zuständigen Organe der Gesellschaft, an die die Daten übermittelt werden, ausreichen. Freundesgabe Büllesbach 2002 296 Brühann 3.2.1 Angemessenheitsprüfung der Datenschutzprinzipien Relativ unproblematisch erscheint ebenfalls die Prüfung der Angemessenheit des Inhalts der Datenschutzprinzipien: sie sind an den allgemeinen Anforderungen an die Angemessenheit des Schutzniveaus zu messen. Die auf den Datenimporteur anwendbaren Unternehmensregeln müssen Grundsätze enthalten über die Zweckbestimmung und -bindung, Datenqualität und -verhältnismäßigkeit, Transparenz, Sicherheit, Auskunfts-, Widerspruchs- und Berichtigungsrechte, Weiterübermittlungen an Dritte sowie gegebenenfalls sensitive Daten, Direktmarketing und automatisierte Entscheidungen. 3.2.2 Durchsetzungsmechanismen Die Effektivität der Durchsetzung muss daran gemessen werden, ob erstens eine gute Befolgungsrate gewährleistet wird, ob zweitens den einzelnen betroffenen Personen Unterstützung und Hilfe zuteil wird und ob drittens eine angemessene Entschädigung bei Verstoß gegen die Bestimmungen gewährleistet wird (siehe Arbeitsunterlage »Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU« (WP 12) vom 24.7.1998, aaO., S. 12 ff.) 3.2.2.1 Allgemeine Befolgung Eine allgemeine gute Befolgungsrate könnte insbesondere durch organisationelle und technische Maßnahmen in den Unternehmen, aber auch durch die regelmäßige Kontrolle der Verfahren der Datenverarbeitung im Hinblick auf die Einhaltung der Unternehmensregeln, etwa durch interne oder externe Auditierung, sichergestellt werden. Die Bestellung eines internen Konzerndatenschutzbeauftragten zur Überwachung der Einhaltung der Unternehmensregeln, insbesondere wenn er durch ein Netzwerk an Datenschutzkoordinatoren unterstützt wird und Stichproben vornehmen kann, ist ebenfalls ein entscheidender Beitrag in diesem Zusammenhang. Am wichtigsten erscheint jedoch die Art und Weise der Durchsetzung von Sanktionen im Fall der Nichteinhaltung der Unternehmensregeln. Neben der Änderung der nicht konformen Praxis kommt es auch gerade darauf an, dass eine »Strafe« ausgesprochen werden kann, die sich auf das künftige Verhalten des Unternehmens auswirkt, indem schon die bloße Möglichkeit einen Anreiz für die Einhaltung der Unternehmensregeln bietet. In diesem Zusammenhang erscheint es nicht ausreichend, Verstöße gegen die Unternehmensregeln der Geschäftsleitung des betroffenen Unternehmens sowie der Konzernleitung mit einer Stellungnahme des Konzerndatenschutzbeauftragten zu unterbreiten. Deshalb könnte im Fall eines letztlich unlösbaren Konflikts ein gewisses Maß externer Publizität sowie eine unabhängige Stelle vorgesehen werden, die ein Gericht, eine Freundesgabe Büllesbach 2002 Selbstregulierungsinstrumente zur Liberalisierung des Datenexports 297 Schiedsstelle oder die zuständige Datenschutzkontrollbehörde sein und die Sanktionen aussprechen könnte. Ohne derartige Sanktionsmöglichkeiten ist schwer zu vermitteln, wie ohne ein effektives System externer Überprüfung ein hohes Niveau allgemeiner Einhaltung der Regeln sichergestellt werden kann. 3.2.2.2 Hilfe und Unterstützung der betroffenen Person Hilfe und Unterstützung der betroffenen Personen kann durch die Einrichtung interner und externer Stellen gewährt werden, an die sich der Einzelne wenden kann, wenn sein Anliegen einer behaupteten Verletzung der Unternehmensregeln nicht auf andere Weise gütlich beigelegt werden konnte. Im Rahmen der internen Verfahren kann die Einräumung einer Kompetenz des Konzerndatenschutzbeauftragten zur Anhörung von Beschwerden und zur Ermittlung des Sachverhalts eine wesentliche Garantie sein. Darüber hinaus sollte eine unabhängige Stelle bestehen, die im Konfliktfall den Sachverhalt untersuchen und eine verbindliche Lösung vorschlagen kann. 3.2.2.3 Schadensersatz Eine angemessene Entschädigung müsste für den Fall gewährt werden, dass betroffenen Personen infolge eines Verstoßes gegen die Unternehmensregeln ein (finanzieller oder immaterieller) Schaden entstanden ist. Ein entsprechender Antrag kann von den Datenschutzkoordinatoren und dem Konzerndatenschutzbeauftragten behandelt werden. Wichtig ist aber auch hier, dass für die Durchsetzung im Konfliktfall die Einschaltung einer unabhängigen Stelle möglich ist, deren Entscheidungen zu respektieren das Unternehmen verbindlich anerkannt hat. 3.2.2.4 Haftung des Datenexporteurs Während es der Datenimporteur ist, der die notwendigen Maßnahmen zur Sicherstellung der Einhaltung der Verhaltensregeln treffen oder dulden muss, kann der Datenexporteur eine gleichwertige Rolle bei der Sicherstellung der Hilfe und Unterstützung der betroffenen Person sowie der Entschädigung spielen. Der Datenexporteur könnte die Verpflichtung übernehmen, die betroffenen Personen bei der Durchsetzung ihrer Rechte gegenüber dem Datenimporteur zu unterstützen oder für die Schadensersatzleistung selbst an die Stelle des Datenimporteurs zu treten. Dies ist allerdings nur adäquat, solange der Datenexporteur als solventes Unternehmen diese Verpflichtung auch effektiv honorieren kann. Freundesgabe Büllesbach 2002 298 Brühann 4. Wie können Unternehmensregeln anerkannt werden? Nach Artikel 26 Abs. 2 der Richtlinie 95/46/EG bedürfen alle Übermittlungen von Daten, die auf der Grundlage von durch den Exporteur beigebrachten Garantien erfolgen sollen, der Genehmigung durch die zuständige Stelle in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist. Eine etwaige informelle Stellungnahme der zuständigen Behörde zu den Unternehmensregeln ist natürlich möglich und für das Unternehmen im Hinblick auf die Beurteilung zukünftiger Anträge zur Genehmigung von Einzelübermittlungen von Daten hilfreich. Jede Genehmigung durch eine nationale Stelle ist nach Artikel 26 Abs. 3 der Europäischen Kommission und den Mitgliedstaaten mitzuteilen, denen damit die Möglichkeit eröffnet werden soll, eine Stellungnahme in Bezug auf den Schutz der Grundrechte und -freiheiten und insbesondere der Privatsphäre abzugeben. Die damit ermöglichte Harmonisierung der Praxis liegt letztlich im Interesse der Mitgliedstaaten selbst. Sie erlaubt es, künstliche Verkehrsverlagerungen zu Mitgliedstaaten mit einer großzügigen Genehmigungspraxis entgegenzuwirken und damit zu verhindern, dass eine strengere Praxis in manchen Mitgliedstaaten durch Ausnutzen der innergemeinschaftlichen Datenverkehrsfreiheit weitgehend unterlaufen könnte. Ein eventuelles Ergebnis dieser Information könnte bereits sein, dass die zuständigen Behörden in den übrigen Mitgliedstaaten, in denen konzernangehörige Unternehmen niedergelassen sind, eine einheitliche Genehmigungspraxis entwickeln. Allerdings machen die bisherigen Erfahrungen eine solche zufällige und freiwillige Harmonisierung nicht sehr wahrscheinlich. Wahrscheinlicher ist die Möglichkeit, dass die Mitgliedstaaten und die Kommission nach Ergebnis und Begründung verschiedene Stellungnahmen abgeben und dass davon zumindest eine einen »hinreichend begründeten Widerspruch« im Sinne des Artikel 26 Abs. 3 geltend macht. Für diesen Fall ist vorgesehen, dass die Kommission die »geeigneten Maßnahmen« nach dem Verfahren des Artikel 31 Abs. 2 einleitet. Diese kann feststellen, dass für die mitgeteilte Übermittlung unter Berücksichtigung der gebotenen Garantien die Genehmigung nicht zu erteilen ist, oder – wahrscheinlicher – die Bedingungen oder zusätzlichen Garantien aufführen, die erforderlich sind, um eine rechtmäßige Genehmigung der in Frage stehenden Übermittlung erteilen zu können (Brühann, in: Grabitz/Hilf, Kommentar zum EU Vertrag II, Verbraucherund Datenschutzrecht A 30, Art. 26, Rn. 18). Diese Entscheidung hat Wirkung für alle Mitgliedstaaten der Gemeinschaft und muss von ihnen umgesetzt werden, soweit sie nach ihrer Rechtsordnung nicht mit unmittelbarer Wirkung ausgestattet ist. Allerdings bezieht sich die Entscheidung der Kommission nur auf die mit der Genehmigung vorgelegte Einzelübermittlung. Sie bringt deshalb noch nicht die Rechtssicherheit, dass zukünftige Übermittlungen unter Zugrundelegung der der Entscheidung angepassten Unternehmensregeln durch konzernangehörige Unternehmen aus allen Mitgliedstaaten automatisch zulässig wären. Auch verfahrensmäßig wäre eine Genehmigung jeder einzelFreundesgabe Büllesbach 2002 Selbstregulierungsinstrumente zur Liberalisierung des Datenexports 299 nen Übermittlung durch die zuständigen Behörden der Mitgliedstaaten weiterhin erforderlich. In diesem Verfahren wären die Mitgliedstaaten nicht verpflichtet, selbst bei Vorliegen der Voraussetzungen, eine Genehmigung tatsächlich zu erteilen, da die Möglichkeit der Genehmigung in Artikel 26 Abs. 2 für die Mitgliedstaaten nicht zwingend, sondern fakultativ ist (»ein Mitgliedsstaat kann…«). Insoweit bleibt der Harmonisierungseffekt dieser Entscheidung der Kommission unvollständig. Nach Artikel 26 Abs. 4 kann allerdings die Kommission mit verbindlicher Wirkung für alle Mitgliedstaaten bestimmen, dass bestimmte »Standardvertragsklauseln« ausreichende Garantien gemäß Artikel 26 Abs. 2 bieten. Zu prüfen ist, ob Verhaltensregeln von Unternehmen als solche »Standardvertragsklauseln« angesehen werden können oder ob diese Möglichkeit es der Kommission auch erlauben würde, mit Wirkung für die gesamte Gemeinschaft andere als vertragliche Garantien, nämlich Unternehmensregeln, als angemessen anzuerkennen. Unternehmensregeln werden in der Regel als einseitige Rechtsakte, beispielsweise durch Beschluss, der selbständigen Organisationseinheiten in dem Konzern entsprechend den für die Beschlussfassung geltenden Bestimmungen insbesondere des Gesellschaftsrechts geschaffen. Als solche sind sie nicht als »Vertragsklauseln« anzusehen, weil ihnen das Element der wechselseitigen Verpflichtung, das Synallagma, fehlt. Demgegenüber könnten die Unternehmen jedoch mehrseitige Verträge mit dem Inhalt von Unternehmensregeln schließen, in denen alle teilnehmenden Konzernunternehmen durch ihre Unterschrift gemeinsam und gegenseitig versprechen, die Unternehmensregeln einzuhalten. In diesem Fall wäre durch die Verpflichtung der Konzernunternehmen auf ein gemeinsames Ziel ein Vertragsverhältnis entstanden, das die Möglichkeit für die Kommission eröffnet, eine für die Gemeinschaft verbindliche Anerkennung des Schutzniveaus vorzunehmen. Nach dem Sinn und Zweck der Vorschrift des Artikel 26 Abs. 4 erscheint es aber auch vertretbar, den Verweis auf den Abs. 2 in einem umfassenderen Sinne auszulegen, dass nämlich alle dort genannten Garantien auch Gegenstand einer Entscheidung nach Artikel 26 Abs. 4 durch die Kommission sein können. Gründe des Datenschutzes, die dagegen sprechen könnten, sind nicht ersichtlich, der Umweg über die Konstruktion eines mehrseitigen Vertrages führt zum selben Ergebnis und es besteht ein mehrfach geäußertes Bedürfnis der Wirtschaft, durch eine einzige Entscheidung auf Ebene der Gemeinschaft die Anerkennung der Unternehmensregeln für alle in Europa niedergelassenen konzernangehörigen Unternehmen zu erwirken. Darüber hinaus hätte erst die Entscheidung der Kommission über die Angemessenheit des Schutzniveaus der Unternehmensregeln eine wesentliche verfahrensmäßige Erleichterung zur Folge. Inhalt dieser Entscheidung könnten die Unternehmensregeln als solche sein, so dass die Notwendigkeit der Genehmigung der darauf gestützten nachfolgenden Einzelübermittlungen entfiele. Damit wäre ihre Anerkennung auch in den Mitgliedstaaten sichergestellt, die die Möglichkeit der Einzelgenehmigungen nach Artikel 26 Abs. 2 Freundesgabe Büllesbach 2002 300 Brühann nicht vorsehen, und damit eine vollständige Harmonisierung der Praxis im Sinne einer erheblichen Verbesserung des internationalen Datenschutzes im Sinne der europäischen Bürger erreicht. 1 Insbesondere das »Übereinkommen No. 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten« des Europarats v. 28. 1. 1981 sowie die »Leitlinien zum Schutz der Privatsphäre und grenzüberschreitender Fluss personenbezogener Daten« der OECD v. 23. 9. 1980. Darüber hinaus sei auf die Instrumente der UN und ihrer Unterorganisationen hingewiesen. Freundesgabe Büllesbach 2002 301 Stefan Walz EG-Datenschutzrichtlinie und Selbstregulierung – Umsetzungsdefizite beim Medienprivileg des BDSG 1. Selbstregulierungsansätze in der EG-Datenschutz-Richtlinie Alfred Büllesbach war und ist ein engagierter Anhänger der Selbstregulierung im nichtöffentlichen Datenschutz. Diese Festgabe bezeugt diese Feststellung mit der Aufnahme mehrerer einschlägiger Beiträge. In der Diskussion um die Anforderungen der EG-Datenschutzrichtlinie an Datenübermittlungen in Drittstaaten hat Büllesbach sich dafür eingesetzt, konzernweite Codes of Conduct als Garanten des nach Art. 26 erforderlichen angemessenen Datenschutzniveaus anzuerkennen. Solche Verhaltensregeln müssten aber – und vorrangig um diesen Aspekt geht es im Kontext dieses Beitrags – auch »Sanktionsmaßnahmen bei Nichteinhaltung« vorsehen (Büllesbach 1999, S. 61). Die Frage nach der Kontrolle und den Sanktionen bei Verstößen war einer der Kernpunkte der Diskussion über die Safe-Harbour-Principles zwischen der EU und den USA. In Art. 27 öffnet die Richtlinie generell den Weg für berufsbezogene und brancheneigene Verhaltensregeln und verlangt, dass Mitgliedstaaten und EU-Kommission diese auf nationaler bzw. europäischer Ebene fördern sollen. Art. 27 Abs. 1 macht allerdings deutlich, dass Verhaltensregeln nur die Funktion haben dürfen, die einzelstaatlichen Umsetzungsbestimmungen auszufüllen und zu konkretisieren, nicht aber nationale Normgebung zu ersetzen. Nach Art. 27 Abs. 2 erhalten untergesetzliche Verbandsregeln nur dann »staatlichen Segen«, wenn sie von der zuständigen Kontrollstelle bzw. auf EU- Ebene von der Gruppe nach Art. 29 der Richtlinie für tauglich befunden wurden. Einen Beitrag zur Umsetzung einer Richtlinie können sie nur bei flächendeckender Geltung, Transparenz und Einklagbarkeit der Betroffenenrechte sowie wirksamer Kontrolle und Sanktionierung von Verstößen leisten (s.u. Abschnitt 4). Selbstregulative Elemente spielen in der Datenschutzrichtlinie außer bei den Artikeln 26 und 27 auch eine Rolle im Zusammenhang mit Art. 9, in dem es um das Regelungsmodell für die Herstellung von Konkordanz zwischen dem Schutz des Rechts auf informationelle Selbstbestimmung und der ebenfalls – europäisch wie national – grundrechtlich gewährleisteten Medienfreiheit geht. Art. 9 schreibt den Mitgliedstaaten vor, für Print- und Funkmedien Ausnahmen und Einschränkungen von den Bestimmungen der Richtlinie über die Zulässigkeit personenbezogener Datenverarbeitung, die Datenübermittlung in Drittstaaten und die externe Datenschutzkontrolle zu machen. Die Begründung der Kommission zum Geänderten Richtlinien-Vorschlag von 1992 erwähnt, bei der regulatorischen Bewältigung der Grundrechtskollision könne »unter anderem berücksichtigt werden, dass ... ein Verhaltenskodex existiert..« (Abl. EG Nr. C 311 v. 27.11.1992, S.19). Erwägungsgrund 37 der Richtlinie legt wiederum Wert darauf, dass mindestens die in diesem Freundesgabe Büllesbach 2002 302 Walz (sc. Medien-)Bereich zuständige (sc. staatliche) Kontrollstelle bestimmte nachträgliche Zuständigkeiten erhalten (solle), beispielsweise zur regelmäßigen Veröffentlichung eines Berichts oder zur Befassung der Justizbehörden.« Die Bemerkung der Kommission aus dem Jahr 1992 zur Möglichkeit der Berücksichtigung eines bestehenden brancheneigenen Verhaltenskodex hat bei der Neugestaltung des Medienprivilegs im BDSG 2001 ganz erstaunliche Wirkungen entfaltet. Zu der aus anderen, kompetenzrechtlichen Gründen erfolgten Begrenzung des § 41 BDSG auf die Presse und damit die Printmedien kommt hinzu, dass der Bund nicht nur bis auf wenige Ausnahmen auf konkretere Regelungsvorgaben für die zur Gesetzgebung aufgerufenen Länder verzichtet, sondern darüber hinaus gehenden Regelungsbedarf auf Länderebene auch verneint mit dem Hinweis auf die Eigenregulierung der Presse, d.h. auf den durch Bestimmungen zum redaktionellen Datenschutz angereicherten Pressekodex bzw. die Beschwerdeordnung des Deutschen Presserates (vgl. Begründung zum RegE, BT-Drucks. 14/4329, zu Nr. 45, 46 f.). Der Presserat hat im Juni 2001 nach Inkrafttreten des BDSG 2001 beide Texte um neue, wenngleich aus § 41 Abs. 2 und 3 BDSG sowie generell aus dem Rundfunkrecht wohl bekannte Elemente wie Zuspeicherungspflicht von Gegendarstellungen, Auskunftsanspruch nach Berichterstattung, Sperrung und Löschung kodexwidrig verarbeiteter Daten, Redaktionsgeheimnis und Beschwerderecht bei angenommenen Verstößen gegen das »Recht auf Datenschutz« erweitert. 2. Konstanten des Medienprivilegs Um die Richtlinienkonformität der deutschen Umsetzung im Hinblick auf Selbstregulierung und externe Kontrolle besser beurteilen zu können, ist zunächst eine genauere Analyse von Gesetzgebungshistorie und Regelungsinhalt des § 41 in seiner Neufassung durch das BSG 2001 geboten. Das »Medienprivileg« zählt ja seit dem ersten BDSG 1977 zu den umstrittensten Bestimmungen dieses Gesetzes. Dies belegt die umfangreiche Literatur zu dieser Problematik zunächst bis zur BDSG-Novellierung 1990. Auch in den 90er Jahren riss der Strom von Fachveröffentlichungen nicht ab. Ab 1995 hat insbesondere die Notwendigkeit der eingangs angesprochenen Umsetzung des Art. 9 der Datenschutzrichtlinie die Diskussion animiert. Auch die Spezialisten des traditionellen Presse- und Rundfunkrechts haben sich seit Erlass des BDSG 1990 zunehmend in die Debatte datenschutzrechtlicher medienbezogener Fragestellungen eingeschaltet. Insbesondere die Datenschutzbeauftragten haben sich immer wieder für einen einheitlichen medienrechtlichen Datenschutz auf dem im Rundfunkrecht erzielten Standard eingesetzt. Der Gesetzgeber des BDSG 2001 hat jedoch diesen Ansatz – erneut – nicht aufgegriffen. Vielmehr hat die Novellierung die Unterschiede in Regelungsdichte und Regelungsinhalt zwischen den Printmedien – mit ihrer partiellen Selbstregulierung – , den Mediendiensten und dem Rundfunk eher noch verstärkt. Freundesgabe Büllesbach 2002 EG-Datenschutzrichtlinie und Selbstregulierung 303 § 41 Abs. 1 zielt nach wie vor – insoweit hat die Novellierung 2002 nichts geändert – darauf ab, den Schutz des informationellen Selbstbestimmungsrechts, den in § 1 Abs. 1 verankerten Zweck des BDSG, mit den besonderen grundrechtlichen Gewährleistungen für die (Print-)Medien in Einklang zu bringen. Erreicht werden soll eine praktische Konkordanz zweier potentiell kollidierender Grundrechte, die beide nach dem Verständnis des Grundgesetzes zu den fundamentalen Voraussetzungen einer freiheitlichen und demokratischen Gesellschaft zählen. Der in Art. 5 Abs. 1 GG im Interesse öffentlicher Meinungsbildung garantierten Pressefreiheit und den daraus resultierenden besonderen Verarbeitungsbedingungen soll durch eine – eng auf diese Funktion begrenzte – Einschränkung des informationellen Selbstbestimmungsrechts Rechnung getragen werden. Der Gesetzgeber hat im Interesse der Freiheit der journalistischen Recherche und zur Sicherung des Redaktionsgeheimnisses die Presse aus der Anwendung des größten Teils der Vorschriften des BDSG herausgenommen: Ihr gegenüber können die datenschutzrechtlichen Individualrechte der §§ 33 bis 35 nicht geltend gemacht werden. Eine staatliche Datenschutzaufsicht besteht in diesem Bereich nicht. Die Zulässigkeit der Datenverarbeitung wird nicht durch Vorgaben wie dem Vorhandensein einer gesetzlichen Grundlage, einer Einwilligung oder von »berechtigten Interessen« (vgl. § 28) beschränkt. Statt der materiellen Vorschriften des Dritten und teilweise des Ersten Abschnitts des BDSG gilt für die Datenverarbeitung im journalistisch-redaktionellen Kernbereich der Printmedien das Presse- oder sonstige pressebezogene Medienrecht. Individualansprüche auf Gegendarstellung, Widerruf und Schadensersatz bestehen ausschließlich nach den einschlägigen Landespresse- bzw. Landesmediengesetzen sowie nach den zum Schutz der Ehre und des Persönlichkeitsrechts nach §§ 823, 1004 BGB entwickelten Prinzipien des Richterrechts. Allerdings besteht die datenschutzrechtliche Sonderstellung nur bei ausschließlich journalistisch-redaktioneller oder literarischer Verarbeitungsabsicht. Dagegen werden vom BDSG voll erfasst die zu kommerziellen oder administrativen Zwecken verarbeiteten Daten. Gemeint sind damit in erster Linie die Unternehmensbereiche Vertrieb, d.h. die Bezieher-, Abonnenten-, Gebührenzahler- und Lieferantendateien, und Anzeigenverwaltung. Hier liegt ebenso Datenverarbeitung für eigene Zwecke nach § 28 vor wie bei den Arbeitnehmerdaten sowie in den Bereichen Technik, Fuhrpark oder Hausverwaltung. Gleiches gilt für Honorar- und Lizenzverwaltungssysteme. Auch wenn sich aus solchen Dateien im Einzelfall Hinweise auf redaktionelle Tätigkeiten ergeben können, liegt doch der Zweck dieser Datenverarbeitung nicht in der redaktionell-inhaltlichen Vorbereitung einer Medienproduktion, sondern vorrangig in der haushaltstechnischen Abwicklung. Das administrative bzw. kaufmännische Interesse des jeweiligen Medienunternehmens steht im Vordergrund mit der Folge der vollen Anwendbarkeit des BDSG. Freundesgabe Büllesbach 2002 304 Walz 3. Regelungsinhalt nach der Novellierung 2001 Wesentliche Neuerung des § 41 Abs. 1 i.d.F. des BDSG 2001 ist es, dass die datenschutzrechtliche Privilegierung der (jetzt nur noch Print-)Medien durch den Bundesgesetzgeber nicht mehr selbst abschließend kodifiziert wird. Vielmehr werden die Landesgesetzgeber aufgrund der Rahmenkompetenz des Art. 75 GG durch den Bund, der ihnen einen Mindeststandard an Regelungen vorgibt, in die Pflicht genommen. Der mit der Neufassung umzusetzende Art. 9 der EG-Richtlinien sieht vor, dass die Mitgliedstaaten für die Verarbeitung personenbezogener Daten, »die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt«, von den Kapiteln II, IV und VI, d.h. vor allem von den Vorschriften über die materielle Zulässigkeit der Verarbeitung sowie über die Datenschutzkontrolle, Abweichungen zur Sicherung der Medienfreiheit vorsehen, und zwar nur, soweit sich dies als notwendig erweist, um das »Recht auf Privatsphäre« mit der Medienfreiheit in Einklang zu bringen. Keine Ausnahme besteht dagegen bei den Anforderungen, die sich aus den Kapiteln I (Allgemeine Bestimmungen), III (Rechtsbehelfe, Haftung und Sanktionen), und V (Verhaltensregeln) ergeben. Art. 9 stellt deutlich klar, dass die Richtlinie die letztgenannten Regelungsbereiche für die Medien voll zur Wirkung bringen will. § 41 Abs. 1 BDSG schreibt der Landesgesetzgebung aber nur die Aufnahme der Vorschriften der §§ 5, 7, 9 und 38a BDSG vor. Der Abgleich von europäischem Umsetzungsanspruch und in Kraft getretener deutscher Gesetzgebung bedingt zunächst einen Blick auf die Regelungskonsequenzen des neuen § 41 Abs. 1. Die Erwähnung des § 5 BDSG bedeutet, dass die Länder für die personenbezogene Datenverarbeitung zu ausschließlich eigenen journalistisch-redaktionellen Zwecken das Datengeheimnis des § 5 entsprechend vorzusehen haben. Für Redaktionsmitglieder und alle übrigen publizistisch tätigen Personen gilt also das Verbot der unbefugten Verarbeitung und Nutzung personenbezogener Daten. Solche Erhebungs-, Nutzungs-, Übermittlungs- und Veröffentlichungsverbote können sich für Mitarbeiter der Medien aus dem allgemeinen Strafrecht, aus bereichsspezifischen Datenschutznormen außerhalb des BDSG oder aus arbeitsvertraglichen Klauseln ergeben. Speziell auf Journalisten und sonstige Medienschaffende gemünzte gesetzliche Befugnisnormen für den Umgang mit persönlichen Angaben finden sich in den Landespresse- und Landesmediengesetzen allerdings nicht. Die medienrechtliche Sorgfaltspflicht in Bezug auf die Beschaffung, die Herkunft und den Inhalt von Informationen ist lediglich als Generalklausel formuliert. Doch wird sie für die einzelnen Phasen der journalistischen Recherche und Berichterstattung konkretisiert durch berufsethische Maßstäbe, etwa durch die – wie oben ausgeführt in Folge des neuen BDSG um datenschutzbezogene Regelungen erweiterten – »Richtlinien für die publizistische Arbeit« des Deutschen Presserats. Kriterien für die Anwendung von § 5 im redaktionellen Bereich ergeben sich in allgemeinerer Form aus dem auf die Sicherung der Pressefreiheit begrenzFreundesgabe Büllesbach 2002 EG-Datenschutzrichtlinie und Selbstregulierung 305 ten Schutzziel des § 41 Abs. 1. So ist das Datengeheimnis z.B. einzuhalten gegenüber Redaktionsmitgliedern oder Verlagsmitarbeitern, die nicht aus professionellem Interesse, sondern aus privater Neugierde personenbezogene Angaben, die nach allgemeinem Datenschutzrecht nicht offenbart werden dürften, etwa aus Medienarchiven oder Pressedatenbanken, erhalten wollen. Vor allem greift § 5 aber gegenüber den Mitarbeitern der kommerziell-administrativen Abteilungen des Medienunternehmens. Alle bei der publizistischen Datenverarbeitung beschäftigten Personen müssen nach § 5 Abs. 2 auch förmlich auf das Datengeheimnis verpflichtet werden. Auch die durch § 41 Abs. 1 ebenfalls als zwingende Regelung vorgegebene Datensicherungsvorschrift des § 9 und der zugehörigen Anlage spielt eine wichtige Rolle. Sie soll bewirken, dass speziell auf die spezifischen Bedingungen der Pressebranche zugeschnittene Vorkehrungen zur Wahrung der ausschließlich eigenen publizistischen Datennutzung zu treffen sind. Unbefugte Außenstehende und Nichtberechtigte innerhalb des Medienunternehmens sollen keine Kenntnis von den privilegiert verarbeiteten Daten erlangen. Technische Maßnahmen nach der Anlage zu § 9 sind insbesondere bei der Textkommunikation, bei der Vernetzung in und zwischen Redaktionen und Verlagen oder bei der Einrichtung von Online-Anschlüssen an Medienarchive erforderlich. So dient beispielsweise die Zugriffskontrolle zur Überprüfung des journalistischen Charakters der Abfragen aus dem Datenbestand. Die vernetzten DV-Strukturen in Pressehäusern sind so auszugestalten, dass personenbezogene Daten nicht verfälscht und nicht über den presserechtlich zulässigen Umfang hinaus verarbeitet werden können. Wird mit der Inbezugnahme auf §§ 5 und 9 an den gesicherten dogmatischen Bestand der Vorläufernorm des BDSG 1990 angeknüpft, ist die Haftungsregelung entsprechend § 7 Neuland: Sie soll nach der Formulierung in § 41 Abs. 1 a.E. »hierauf«, d.h. auf die zuvor erwähnten Bestimmungen der §§ 5, 9 und 38a bezogen sein. Schadensersatz auf datenschutzrechtlicher Grundlage kann von einem Presseunternehmen also (nur) dann verlangt werden, wenn ein Verstoß gegen das Datengeheimnis – etwa wegen unbefugter Datenweitergabe – vorliegt, unzureichende technisch-organisatorische Maßnahmen getroffen oder im Wege der Selbstregulierung gesetzte Verhaltensregeln verletzt worden sind. Dass die Landespressegesetze eine Norm entsprechend § 38a aufnehmen müssen, öffnet die Möglichkeit für Presseverbände, datenschutzbezogene Verhaltensregeln für ihre Mitglieder zu schaffen. Die in § 38a vorgesehene Vorlage an und Überprüfung durch die zuständige Aufsichtsbehörde ist allerdings nicht vollziehbar, da das Medienprivileg des § 41 Abs. 1 auch die Freiheit des Pressesektors von externer Datenschutzkontrolle umfasst. Dies hindert Verbände von Printunternehmen selbstverständlich nicht daran, die Aufsichtsbehörde informell einzuschalten und diese um eine Einschätzung freiwillig vorgelegter Verhaltensgrundsätze, Leitlinien o.ä. zum redaktionellen Datenschutz zu bitten. Es darf allerdings bezweifelt werden, und dies tut der Deutsche Presserat selbst, dass es in den Ländern nennenswertes Interesse Freundesgabe Büllesbach 2002 306 Walz daran gibt, über seine aufgrund des Inkrafttretens des BDSG 2001 geänderten Publizistischen Grundsätze (Pressekodex), Richtlinien für die publizistische Arbeit und Beschwerdeordnung, die bundesweit gelten sollen (s.o. Abschnitt 1), hinauszugehen (vgl. die Stellungnahme des Dt. Presserats zum BDSGRefE, AfP 1999, 458, 465). 4. Zweifel an der Richtlinienkonformität Betrachtet man diese wenigen verbindlichen normativen Vorgaben auf dem Hintergrund des Art. 9 Datenschutzrichtlinie, der den Medien nur eine klar begrenzte datenschutzrechtliche Sonderstellung einräumen will, ergeben sich Zweifel, ob § 41 Abs. 1 i.d.F. des BDSG 2001 die Vorgaben der Richtlinie ausreichend umsetzt und damit die vom Europäischen Gerichtshof in ständiger Rechtsprechung definierte gemeinschaftsrechtliche Anforderung der Erreichung der größtmöglichen Wirksamkeit von Richtlinien (»effet utile«) erfüllt, eine Anforderung, die der EuGH im Fall TA Luft bereits dann als verfehlt betrachtet hat, wenn die Umsetzung durch – anders als Verhaltensregeln immerhin verbindliche – Verwaltungsvorschriften erfolgt (vgl. EuGH, Rs. C-361/88, TA Luft, Slg. 1991, S. I 2567, 2602 f.). Denn es fehlt an jeder rechtsverbindlichen, sei es gesetzlichen oder untergesetzlichen, Regelung der materiellen Aspekte des Medienprivilegs, also der in Art. 9 der Normierung durch die Gesetzgebung der Mitgliedstaaten überantworteten Abweichungen und Ausnahmen von den Zulässigkeits- und Kontrollvorschriften. Gegenüber dem Referentenentwurf 1999 ist die Gesetz gewordene Fassung des Art. 41 Abs. 1 aufgrund heftiger Proteste von Verleger- und Journalistenvereinigungen stark reduziert worden; seinerzeit waren noch die verbindliche Übernahme u.a. der Normen über den redaktionsinternen Datenschutzbeauftragten, die besondere Zweckbindung, den Auskunftsanspruch und die Berichtigungspflicht zur Übernahme in die Landesgesetze vorgesehen. Die Bundesregierung begründet – wie oben dargelegt – diese Abschwächung und damit die teilweise Verabschiedung aus der staatlichen Gesetzgebungsverantwortung in der Begründung zum Regierungsentwurf mit dem Hinweis auf die Selbstregulierung durch den Deutschen Presserat. Dem steht der Geltungsanspruch der Richtlinie gegenüber, die die medienbezogenen Ausnahmemöglichkeiten eng gefasst und im Prinzip vom Gesetzgeber entschieden wissen will. Zwar können freiwillige Verhaltensregeln unter bestimmten Voraussetzungen auch zur Umsetzung von Richtlinien beitragen. Doch hat der EuGH dafür die Voraussetzungen aufgestellt, dass dieses Regelsystem die vollständige Anwendung der Richtlinie durch alle Normadressaten sicherstellt, die Betroffenen über ihre Rechte informiert sind und sie gegebenenfalls auch vor staatlichen Gerichten geltend machen können, dass die flächendeckende Einhaltung der Regeln wirksam kontrolliert wird und ausreichende Sanktionen für den Fall der Nichtbefolgung ausgesprochen und durchgesetzt werden (vgl. Freundesgabe Büllesbach 2002 EG-Datenschutzrichtlinie und Selbstregulierung 307 Brühann mit Hinweis auf EuGH Rs. C-29/84, Slg. 1985, 1661, 1673). Selbstregulierung kann m. a. W. nur dann und insoweit in Betracht kommen, als die Mitgliedstaaten bei presseeigenen Kodices hinsichtlich Inhalt, Repräsentativität, flächendeckender Erfassung und Effizienz des Sanktionsmechanismus bei Verstößen die Einhaltung dieser Anforderungen (vgl. Ehmann/ Helfrich 1999, Art. 9 Rdnr. 16) gewährleisten können. Der jetzige Bundesverfassungsrichter di Fabio formuliert dahingehend, die Einhaltung ethischer Standards durch Journalisten sei regelmäßig nur dann gewährleistet, wenn alle einschlägigen Marktteilnehmer erfasst sind, der Selbstbindungswille allgemein ist, die Öffentlichkeit Übertretungen tatsächlich ächtet oder der Staat unter Einsatz des Gewaltmonopols empfindliche Maßnahmen androht (vgl. di Fabio 1999, S. 130 f.). Der Erfüllung dieser Kriterien steht entgegen, dass – soweit dies Presseberichten zu entnehmen ist – der Deutsche Presserat nur etwa 80 % der deutschen Printunternehmen zu Mitgliedern haben soll, also keine flächendeckende Erfassung der deutschen Presse durch seine verbandseigenen Regeln zum redaktionellen Datenschutz und zum Beschwerdeverfahren gewährleisten kann. Was den fast ebenso wichtigen Aspekt der Sanktionierung von Regelverstößen angeht, hat eine neuere empirische Analyse der Reaktion des Presserats auf Beschwerden und Rügen – vorsichtig formuliert – eine erhebliche Zurückhaltung bei der Ausübung des verbandseigenen Instrumentariums enthüllt (vgl. Münch AfP 2002, 18 ff). Die datenschutzrechtlichen Auskunfts- und Berichtigungsrechte sind – anders als für den Rundfunk – nicht einmal bei Berücksichtigung der legitimen pressespezifischen Verweigerungsmöglichkeiten gesetzlich gewährleistet und können dementsprechend auch nicht gerichtlich eingeklagt werden. 5. Konsequenz: Länderrechtliche Vollregelung als Auffanglösung Im Ergebnis lässt sich kaum bestreiten, dass die deutsche Lösung für das Medien- bzw. Presseprivileg, die keine flächendeckende Anwendbarkeit gewährleistet, auf tendenziell sanktionsunwillige Beschwerdegremien baut und keine staatliche (Letzt-) Implementationskontrolle einrichtet, die von der Richtlinie gesetzten Voraussetzungen für Selbstregulierung verfehlt. Daher stellt sich die Frage nach den Konsequenzen. Eine der möglichen Konsequenzen bei unzulänglicher Umsetzung von Richtlinien ist die Einleitung eines Vertragsverletzungsverfahrens nach Art. 226 EGV; die Prüfung des Vorliegens der entsprechenden Voraussetzungen ist Angelegenheit der EU-Kommission. Die vorrangige Konsequenz auf der deutschen Ebene trifft die Landesgesetzgeber. Sie sind gehalten, eine landesrechtliche Vollregelung des Presseprivilegs jedenfalls insoweit zu schaffen, als die vom Deutschen Presserat getroffenen neuen datenschutzbezogenen Richtlinien nicht greifen. Für die von den branchenautonomen Regelungen des Presserats etwa wegen fehlender Mitgliedschaft nicht erfassten Printunternehmen muss m.a.W. der von der RichtFreundesgabe Büllesbach 2002 308 Walz linie angeordnete Standard – etwa was die Einhaltung der journalistischen Zweckbindung und die Überprüfung von Eingaben angeht – durch gesetzliche Normierung gesichert werden (vgl. HmbDSB, 18. Tätigkeitsbericht für 2000/2001, Ziff. 2.2.3). Den Ländern steht es aufgrund ihrer eigenen Regelungskompetenz – innerhalb der durch den Bund ausgeübten Rahmenkompetenz – ohnehin frei, auch ohne Berücksichtigung verbandsautonomer Bindung an Verhaltensregeln über die in § 41 Abs. 1 genannten Normen hinaus zusätzliche Vorschriften zum Verhältnis von Presse und Datenschutz zu schaffen, da das BDSG insoweit dem Landesgesetzgeber nur den Mindeststandard vorgibt. Für die legislativen Aktivitäten der Länder ist Eile geboten: Nach Art. 75 GG löst zwar eine Rahmenvorschrift nur dann eine Gesetzgebungspflicht der Länder aus, wenn der Bund in seinem (verfassungsmäßigen) Rahmengesetz eine angemessene Frist für den Erlass der erforderlichen Landesgesetze bestimmt hat. Eine solche Frist ist für die Umsetzung von § 41 Abs. 1 zwar nicht im BDSG selbst gesetzt. Doch trifft die Länder die eigenständige Pflicht zur Umsetzung von EG-Richtlinien in ihrem Zuständigkeitsbereich. Daraus ergibt sich, dass die Länder keinen zeitlichen Spielraum für die Ergänzung ihrer Landespressegesetze mehr haben, ist doch die dreijährige Umsetzungsfrist der Richtlinie bereits im Oktober 1998 abgelaufen. 6. Fazit: Staatliche Regelungsverantwortung bei unzureichender Selbstregulierung Für die EU-Richtlinie und damit EU-weit ist die Selbstregulierung durch Verhaltensregeln, Codes of conduct o.ä. ein zentraler Baustein des Datenschutzmodells. Für Deutschland mit seiner stark staatlich-normativen Regelungstradition kann diese Delegation von Regelungsverantwortung auf zivilgesellschaftliche Akteure innovativ und befruchtend wirken. Doch können und dürfen selbst gesetzte Regeln den staatlichen normativen Rahmen nur konkretisieren und ausfüllen. Element einer gemeinschaftsrechtlich akzeptierten Richtlinienumsetzung sind sie nur dann, wenn sie die Kriterien wie Repräsentativität, wirksame Sanktionierung etc. erfüllen. Wo die Selbstregulierung bei Anlegung dieser Kriterien versagt, und dies gilt auch und gerade bei der Umsetzung von EG- Richtlinien, muss der Staat seine Regelungsverantwortung (wieder) übernehmen. Literatur Brühann, Ulf (1999): In: Grabitz/Hilf Das Recht der Europäischen Union Komm., BD 2 Sekundärrecht (Lesebl.), A 30 Büllesbach, Alfred (1999): Datenschutzrechtsfragen der internationalen Vertriebsdatenverarbeitung. In: Büllesbach, A. (Hrsg.), Datenverkehr ohne Datenschutz?, Köln 1999, S. 51 ff. Freundesgabe Büllesbach 2002 EG-Datenschutzrichtlinie und Selbstregulierung 309 Di Fabio, Udo (1999): Persönlickeitsrechte im Kraftfeld der Medienwirkung, AfP 1999, 126 ff. Ehmannn, Eugen, Helfrich, Marcus (1999): EG Datenschutzrichtlinie, Kurzkommentar, Köln 1999 Münch, Henning (2002): Der Schutz der Privatsphäre in der Spruchpraxis des deutschen Presserats, AfP 2002, 18 ff. Freundesgabe Büllesbach 2002 310 Freundesgabe Büllesbach 2002 311 Anne Carblanc1 Building Bridges between different approaches of privacy 1. Background While there is a difference between those countries who see the protection of privacy as a matter of human rights and those who have approached it as a practical matter which must be addressed to ensure continued transborder data flows, all OECD Member countries share the same commitment to the protection of privacy, based on the OECD Privacy Guidelines. Indeed in 1998, at the OECD Ministerial level Conference »A Borderless World: Realising the Potential of Global Electronic Commerce« held in Ottawa on 7-9 October 1998, Ministers reaffirmed this commitment to privacy protection in order to ensure the respect of important rights, build confidence in the online environment, and to prevent unnecessary restrictions on transborder flows of personal data. They declared they would build bridges between their traditional national approaches and take the necessary steps to ensure, by various specified measures, the effective implementation of the OECD Guidelines on global networks. They charged the OECD with examining specific issues raised by, and with providing practical guidance to Member countries 2 on, the implementation of the Guidelines online . The online environment Digital computer and network technologies, and in particular the Internet, have facilitated information exchange, allowed the creation of new products and services, and increased user and consumer choice. However, as Internet users leave behind electronic »footprints« or records of where they have been, what they spent time looking at, the thoughts they aired, or the goods and services they purchased, concerns over the protection of privacy and personal data have increased deriving from the fear that all this computerprocessable personal information, whether automatically generated or not, be collected, stored, detailed, individualised, and easily linked and put to a variety of uses in places geographically dispersed all around the world, without the user knowledge or consent. In this context, the OECD was considered the appropriate forum to foster a dialogue among governments, the private sector, the user and consumer communities, and data protection authorities in order to: »Offer a balanced understanding of the issues linked to the protection of privacy and transborder flows of personal data in relation to global networks« »Consider the various solutions which would facilitate the seamless implementation of privacy protection online and contribute towards building a trustworthy environment for the development of electronic commerce«. Freundesgabe Büllesbach 2002 312 Carblanc The two traditional approaches to protection of privacy Privacy protection has traditionally been approached as if there were primarily two approaches: government regulatory and legislative actions and marketbased self-regulatory efforts. Each of these approaches has advantages and disadvantages and it cannot be assumed that one system is more effective than the other is. Government efforts offer predictable, enforceable legal protections and redress mechanisms yet they may lack the predictive skills and flexibility to adequately regulate the online environment. Self-regulatory efforts enable organisations in different sectors to tailor detailed guidelines to work within specific circumstances. However, the resulting policy patchwork and divergent implementation may not provide the necessary transparency, uniformity and legal certainty. Whatever the approach is, enforceability is crucial because compliance either with statutory or self-regulation is not automatic, and more and more, the »summa divisio« between regulation and selfregulation is seen as a false dichotomy. The 1980 OECD Privacy Guidelines The widely accepted and technologically neutral privacy principles found in the OECD Privacy Guidelines represent an international consensus on basic principles for protecting privacy and personal information. Irrespective of differences in national approaches to privacy, they still provide appropriate guidance for handling personal data on global networks. The eight principles are: – Collection Limitation: There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject. – Data Quality: Personal data should be relevant to the purpose for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date. – Purpose Specification: The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose. – Use Limitation: Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with the Purpose Specification Principle except: a) With the consent of the data subject; or b) By the authority of law. – Security Safeguards: Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access, destruction, use, modification or disclosure of data. – Openness: There should be a general policy of openness about developFreundesgabe Büllesbach 2002 Building Bridges between different approaches of privacy 313 ments, practices and polices with respect to personal data. Means should be readily available of establishing the existence and nature of personal data, and the main purpose of their use, as well as the identity and usual residence of the data controller. – Individual Participation: An individual should have the right: a) To obtain from a data controller, or otherwise, confirmation of whether or not the data controller has data relating to him; b) To have communicated to him, data relating to him i) Within a reasonable time; ii) At a charge, if any that is not excessive; iii) In a reasonable manner; and iv) In a form that is readily intelligible to him; c) To be given reasons if a request made under subparagraphs (a) and (b) is denied, and to be able to challenge such denial; and d) To challenge data relating to him and, if the challenge is successful, to have the data erased, rectified, completed or amended. – Accountability: A data controller should be accountable for complying with measures which give effect to the principles stated above. The OECD ministerial mandate Since 1998, the OECD has focused much of its work on the implementation of the elements of the six-step programme of work for online privacy protection approved by Ministers at the Ottawa Conference. These steps included: – encouraging the adoption of privacy policies – encouraging the online notification of privacy policies to users – ensuring that enforcement and redress mechanisms are available in cases of non-compliance – promoting user education and awareness about online privacy and the means at their disposal for protecting privacy – encouraging the use of privacy-enhancing technologies, and – encouraging the use and development of contractual solutions for online transborder data flows. To carry out this programme of work, the OECD has closely co-operated with business, industry, privacy experts and consumer representatives, as well as with relevant regional and international organisations. The work achieved has accelerated consensus on effective protection within the framework of either industry-led self-regulation or legal regulation. The OECD has adopted a pragmatic approach with a strong emphasis on education, gathering legal and technical information, collecting and distributing examples of efforts and experience on implementation of the Guidelines, offering a forum for discussion, building an internet-based tool, and exploring and discussing a number of legal and technical instruments and mechanisms to ensure privacy protection online. User education and awareness about priFreundesgabe Büllesbach 2002 314 Carblanc vacy has been considered in each component of the work achieved, in particular when designing the Privacy Generator and examining PETs. 2. Work achieved by the OECD Committee for Information, Computer and 3 Consumer Policy (ICCP ) The exchange and analysis of information In furtherance of the Privacy Declaration, the OECD has commenced new studies by compiling inventories and overviews, and organising broad-based workshops to better inform itself before performing analysis. Inventory of Instruments and Mechanisms Contributing to the Implementation and Enforcement of the OECD Privacy Guidelines on Global Networks (1998-1999) With a focus on the online environment, the OECD 1999 inventory surveyed, at international, regional and national levels, the legal and self-regulatory instruments, practices, techniques and technologies, either in use or being developed, to implement and enforce privacy principles in networked environments. If the inventory recognised the wide variety of traditional instruments to implement the OECD Privacy Guidelines, it also drew attention to the emerging trend for privacy rights to be protected online through technological tools, some of which allow users to take charge of their own data protection and privacy. It emphasised that effective protection of privacy online requires an online public not only knowledgeable enough to look after themselves through use of these tools, but also aware of the privacy implications of their actions. Report on Transborder Data Flow Contracts in the Wider Framework of Mechanisms for Privacy Protection Online (1999-2000) The report aimed at helping develop a common understanding of the issues raised by applying contractual analysis and structures to online communications, in particular to business to consumer (or B2C) communications. Recognising the potential of contracts, and in particular B2B model contracts, to satisfy privacy protection expectations as measured against various privacy instruments, regardless of whether or not the transfer occurs in an online or offline environment, the report, however, stressed the need to address effectively the issue of the recourse of the individual under a B2B transborder data flow contract. In this respect, the support of ancillary measures, such as notice to the individuals at the point of data collection, was mentioned. Freundesgabe Büllesbach 2002 Building Bridges between different approaches of privacy 315 Therefore, the report recommended the monitoring of future developments in the work of other international organisations4 having expertise and experience in the area of B to B privacy model contracts. As concerns B2C contracts, the report demonstrated that attempts to design privacy protection measures for online B2C interactions within the constraints of a contractual framework posed many difficulties. In this respect, the difficulty of establishing a binding intention to contract, between an individual visiting a Web site and the data controller of that Web site, or the difficulties facing any individual wishing to obtain redress under a contract were mentioned. The report therefore recommended focussing less on contractual solutions, and more on exploring how to ensure redress through online alternative dispute resolution measures. Alternative Dispute Resolution (ADR) Mechanisms for B2C Privacy and Consumer Protection Disputes (2000-2002) Alternative Dispute Resolution (ADR) refers to mechanisms and processes intended to supplement court adjudication in assisting parties in resolving differences. The objective of the Joint OECD Conference with the Hague Conference on Private International Law and the International Chamber of Commerce (ICC), was to explore whether and how online ADR mechanisms can help resolve B 2 C disputes arising from privacy and consumer protection issues, and thus improve trust for global electronic commerce. The primary focus of the conference was on B 2 C disputes involving small values and/or low levels of harm, as well as on informal, flexible systems that allow for the necessary balancing between the type of dispute and the formality of the process for resolution (e.g. assisted negotiation and mediation). Socio-economic issues, legal issues, technological issues, educational issues, and issues related to trust seals and compliance were discussed. The Conference’s main conclusions were that: – Complaints in relation to e-commerce are growing. – Strong stakeholder co-operation is key. – Settling disputes as soon as possible is most effective. – Flexibility and variety in ADR mechanisms are valuable. – Some common principles are already emerging, such as accessibility, low cost for consumers, transparency, speed of decision, impartiality, but there remains a debate about other important matters, such as voluntary or mandatory recourse to ADR, the binding or non-binding effect of outcomes, and their enforcement. – Socio-economic/cultural barriers, such as language or differences in how cultures approach disputes and disagreements, must be addressed. – Appropriate technological developments may facilitate more effective ADR mechanisms. Following up the Conference, the OECD undertook to help provide guidance Freundesgabe Büllesbach 2002 316 Carblanc as to how best to use ADR with regard to the OECD Privacy and Consumer Protection Guidelines by updating the list of online ADR mechanisms in cooperation with the ICC; developing an educational instrument including a series of questions for potential parties to online ADR (individual users and businesses, notably SMEs) and intended to inform and guide them; and finally, surveying potential cross-border legal challenges to resolving privacy and consumer-related disputes through online ADR. This work is close to its completion. The exploration of technology The OECD has also explored how the capabilities of network technologies and their interactive characteristics could provide a potential effective means of education and protection for users, by facilitating access to information and developing skills, thus improving the practical ability to protect oneself. The OECD has notably developed a privacy statement generator, and examined privacy-enhancing-technologies. The OECD Privacy Policy Statement Generator (1999-2000) 5 An educational Internet technology based tool (the Privacy Generator ) was developed with the help of DaimlerChrysler and Microsoft to provide an information resource about privacy protection at the international, regional and national levels. The objective was to offer guidance on compliance with the OECD Privacy Guidelines and to assist organisations in developing privacy policies and statements for display on their Web sites. In particular, the Generator was designed to produce a draft statement that furnishes an indication of the extent to which the privacy practices of a Web site are consistent with the Privacy Guidelines, so as to provide organisations with an online step by step guidance tool to help them respect privacy protection in their activities at a global level. By endorsing the Privacy Generator, OECD Member countries took a key practical step towards encouraging openness and trust in electronic commerce among visitors to Web sites. By making the Generator widely available free of charge on the Web, OECD Member countries intended to increase business and individual awareness of the privacy protection framework that applies to their online activities. They emphasised that by dealing fairly and in good faith with the Generator and the substance of the statements which it produces, businesses can help ensure that their privacy policy and statement will not misrepresent their privacy practices or be inconsistent with applicable regulations. They stressed that the online notification of such privacy statements can also help individual users to make informed choices about entrusting an organisation with personal data. They recalled that, once their privacy state- Freundesgabe Büllesbach 2002 Building Bridges between different approaches of privacy 317 ments are publicly posted, businesses may be legally liable if they fail to abide by it or if their statement does not comply with local laws. Privacy-Enhancing Technologies (PETs) (2001-2002) PETs are technological tools that can assist in safeguarding the privacy of users and consumers. They are part of the wider package of privacy initiatives and can help implement privacy principles, such as those contained in the OECD Privacy Guidelines, within the framework of either industry-led selfregulation or legal regulation. PETs can empower individuals to choose for themselves and to control their own personal data but they vary in their ability to respond to the different privacy concerns. There are continuous advances in the development and use of such technologies. Work on PETs by the OECD included an inventory of these technologies, and a special Forum session. 6 An inventory was produced by a consultant to the OECD to analyse the availability and variety of PETs, consider the factors affecting adoption of PETs, analyse the relationship between technology and privacy, and form a basis for policy makers to discuss the use and deployment of such technologies. The paper discussed methods of online personal data collection, analysed different types of PETs and made recommendations to the private sector for encouraging their increased development and use. Technological tools that can assist in safeguarding online privacy, PETs were shown to present a range of characteristics. Some filter »cookies« and other tracking technologies; some allow for »anonymous« Web-browsing and e-mail; some provide protection by encrypting data; some focus on allowing privacy and security in e-commerce purchases; and some allow for the advanced, automated management of users’ individual data on their behalf. In essence, PETs reinforce transparency and choice, which can lead to greater individual control of data protection. However, many technologies can be used in many different ways, different products, different technologies and various functions can serve different purposes depending on the preferences of the user and the implementation of the particular technology. A special Forum Session on Privacy-Enhancing Technologies was held at the OECD on 8 October 2001 in order to facilitate discussion on: the policy implications of PETs and the future of PETs in the wider context of online privacy protection; and the challenges of, and methods for educating business about the importance of privacy by design and the use of PETs, and educating individuals about the benefits and limitations of PETs. The session made it clear, in particular, that technically speaking, none of the tools identified used a full range of functionalities that would provide total privacy protection in line with the OECD Privacy Guidelines, e.g. only one tool addressed five of the eight privacy principles and fifty eight concerned only one principle. 7 A study and a research paper by two consultants to the OECD included a Freundesgabe Büllesbach 2002 318 Carblanc synthesis of a survey of PETs currently available on the Web, and a table of the surveyed technologies, as well as a discussion of the question of when, for whom, and under what circumstances, »communication« about PETs might work, in the sense of encouraging businesses to supply such tools, and individuals to use them. The discussion highlighted that though PETs are helpful technological tools that can assist in safeguarding online privacy, they are part of a wider packa8 ge of online privacy initiatives. The need to encourage both individual and corporate users, as well as software developers to develop, deploy and use PETs as part of a broader online privacy protection strategy was also stressed. It was also agreed that the early stage of any technological development is its most critical, and that all stakeholders need to be actively involved in the development of technologies to help ensure that global rights and protections can be taken into account and integrated into systems from the beginning (the concept of »privacy by design«). Finally, education and PETs awareness-raising emerged as critical to the further deployment and use of PETs in homes and the global marketplace. In that respect, the discussion underlined that, for business, the challenge is one of persuading them that they should internalise certain costs (to invest in PETs) in a market where they fear their rivals may externalise such costs. For consumers, it was noted that the challenge of persuasion is shaped first, by the extent to which different types of consumers care about privacy risks and which risks they care about most; second, how preferences for protection against various kinds of risks are traded off against price increments; and third, how consumers will trade off their privacy preference against the cost of searching out and moving to another supplier. Report on Regulatory and Self-regulatory Legal and Technical Instruments and Mechanisms for Compliance with and Enforcement of Privacy Protection (2002) This still ongoing work gathers information about existing systems for compliance, enforcement and redress for privacy protection, examining their availability and efficiency on global networks. It is expected that the information gathered will lead to a better understanding of how privacy safeguards, enforcement mechanisms, and potential remedies can enhance privacy as set forth in the OECD Privacy Guidelines, and the Ministerial Declaration. It will assess the practical application of available compliance and enforcement instruments in a networked environment and their ability to meet the objectives of the OECD Guidelines, including effectiveness and coverage across jurisdictions. It is hoped that this exercise will help identify gaps and barriers to interoperability, and suggest solutions to facilitate seamless privacy protection. Freundesgabe Büllesbach 2002 Building Bridges between different approaches of privacy 319 3. Conclusion Considering the work already achieved and what still needs to be done to help ensure effective privacy protection and build trust online, it is important that governments continue to co-operate among themselves and with the other stakeholders. Efforts to implement privacy protection online at the global level should take account of the following: Any approach to implementing the privacy Guidelines online must have flexibility as a key principle to allow for differences between nations and cultures and to respond to the social and psychological diversity of the various actors on global networks. A mixture of regulatory and self-regulatory approaches as well as of legal, technical and educational solutions is likely to deliver privacy most effectively. The first step toward respect for privacy online is to provide transparency. To this end, businesses should continue to develop and publicise their privacy practices, and to offer effective and efficient user/consumer service (e.g. privacy contact person or chief privacy officer) and complaints handling systems. Development and use of other mechanisms such as trustmark programmes, privacy-enhancing-technologies are also positive, as part of the wider privacy package. Education is essential even though it cannot be a substitute for proper regulation or practices. Practical guidance and sufficient information should be made available so that users/consumers can understand the capabilities of the technology, assert their rights, and make appropriate choices about whether or not to entrust businesses with the collection and use of their personal information. 1 2 3 4 5 6 7 8 This paper represents the views of the author and not necessarily those of the OECD. OECD Ministerial Declaration on the Protection of Privacy on Global Networks [C(98)177]. The documents and other instruments (e.g. Internet-based tools) listed below have been produced by the OECD Committee for Information, Computer and Consumer Policy (ICCP), and can be found on the OECD web site www.oecd.org/sti/security-privacy. Such as the ICC, the Council of Europe and the European Commission. http://cs3-hq.oecd.org/scripts/pwv3/pwhome.htm Lauren Hall, Executive Vice President of the Software & Information Industry Association. Laurent Bernat, Head Information and Strategy, Projetweb, and Perri 6, Director, The Policy Programme, Institute for Applied Health and Social Policy, King's College, London. The wider privacy package includes notably the development and notification of privacy policies, the use of contractual solutions, and an increasing availability of online redress mechanisms – in addition to privacy-enhancing technologies. Freundesgabe Büllesbach 2002 320 Freundesgabe Büllesbach 2002 321 Hans Jürgen Kranz Selbstregulierter Datenschutz im internationalen Luftverkehr – eine Fallstudie Das geläufige wirtschaftspolitische Pro und Contra zur Selbstregulierung der Wirtschaft hat weltweit tätige Unternehmen im Hinblick auf den Datenschutz erst seit wenigen Jahren als notwendige Gestaltungs- und Entscheidungsanforderung an das Management erreicht. Anstoß für dieses Phänomen sind die gesellschaftlichen und wirtschaftlichen Auswirkungen umwälzender weltweiter informationstechnischer Vernetzung von Unternehmenssteuerungsprozessen. Sie sind ein wesentliches Element der »Globalisierung« und betreffen besonders den produktions- und absatzorientierten Instrumentarienkatalog der Unternehmensführung. 1. Strukturelle Besonderheiten der Branche erfordern Selbstregulierung im Datenschutz Grundelement, »Geschäftsidee« des internationalen Luftverkehrs ist das weltweite Verfügbarmachen des Dienstleistungsangebots »sicherer und bedarfsgerechter Lufttransport von Passagieren und Fracht«. Immanent ist, dass sowohl die Produktionsorte als auch die Orte von Absatz und Inanspruchnahme der produzierten Leistungen geographisch in einem eher diffusen, in jedem Fall jedoch komplexen Wirkungs- und Abhängigkeitsgefüge zu einander stehen. Betriebswirtschaftliche Folge dieser Immanenz ist, dass der physische Standort eines Luftverkehrsunternehmens im Hinblick auf die wesentlichen betrieblichen Funktionen global ist. Im Hinblick auf die Wahrung des informationellen Selbstbestimmungsrechts der Kunden verursacht diese Globalität für die Branche erhebliche operative Probleme: Diese beruhen vor allem darauf, dass einerseits derzeit und in dieser Situation von einem einverständlichen globalen Verständnis von den gesellschaftlichen Werten und Inhalten von Privacy (noch) nicht die Rede sein kann. Kulturelle Mentalitätsdifferenzen prägen diese Sachlage. Andererseits ist elementarer Bestandteil des Businessplans professionell geführter Luftverkehrsgesellschaften, ihre Dienstleistungen weltweit als durchgängig kundenorientiert wahrnehmbar zu gestalten (»Seamless Service«). Dieses gilt für die gesamte Servicekette (Marketingkommunikation, Vertrieb/Reservierung, Airportservice, Kabinenservice, Gepäckservice, Kundenfeedback, Kundenbindungsprogramm). Die kundenorientierte Wahrung der Privacy der Passagiere ist dabei konstitutiver Servicefaktor. Auch in dieser Hinsicht ist deutschen Passagieren in Deutschland mit der gleichen persönlichkeitsrechtlichen Zuwendung zu begegnen wie japanischen in Argentinien. Freundesgabe Büllesbach 2002 322 Kranz Diesen branchenspezifischen Antagonismus im Datenschutz (Mentalitätsdifferenzen vs. konzeptionelles Erfordernis des Seamless Service mit global einheitlicher Qualitätsorientierung) gilt es – für den einzelnen Passagier akzeptabel und nachvollziehbar – aufzulösen. Am Prinzip der Selbstregulierung durch die Airlines orientierte Lösungen sind hier am ehesten geeignet, dieses Postulat zu erfüllen. Dabei sind selbstverständlich nationale Gesetze und Vorschriften zu beachten – sowohl was die Regelung des Datenschutzes im nichtöffenlichen Bereich als auch was die grundsätzlichen kulturell ja differierenden Vorstellungen und Regelungen über das gesellschaftlich wünschenswerte Ausmaß an Selbstregulierung im privaten Sektor angeht. Die in dieser Hinsicht durch die EG Datenschutzrichtlinie eingeführten elementaren Regelungsgrundlagen sind als Vorlage für weltweite Lösungen, wie das in ihrem Gefolge entstandene Safe Harbor Regime in den USA im Grundsatz gezeigt hat, geeignet. 2. Strategische Allianzen im Luftverkehr und Privacy Codes of Conduct Ein weiteres hier relevantes Spezifikum der Airline-Branche liegt darin, dass sie zwar physisch betrachtet global operieren, es jedoch im wirtschaftlichen und gesellschaftlichen Sinn globale Unternehmen (zur Zeit noch) nicht gibt. Grund hierfür ist, dass das bestehende Verfahren zwischenstaatlicher Regelung des internationalen Luftverkehrs durch bilaterale Luftverkehrsabkommen globale Fusionen luftverkehrsrechtlich im Ergebnis nicht zulässt. Um gleichwohl operative und wirtschaftliche Vorteile globaler Unternehmensverbindungen zu erschließen, sind im Luftverkehr strategische Allianzen rechtlich selbständig bleibender Gesellschaften üblich geworden. Zu den erfolgsrelevanten Gestaltungskriterien dieser Allianzen gehört es, Servicekonzepte allianzumgreifend auszulegen. Dabei ist konzeptioneller Kern, dass einerseits prägende unternehmensindividuelle und identitätsstiftende unterschiedliche Verhaltensmuster in der Kundenorientierung der Allianzpartner für den Passagier dennoch entscheidungsbeeinflussend wahrnehmbar bleiben sollen. Andererseits soll im Passagierinteresse durch vielfältige operative Kooperationsprozesse die Abwicklung komplexer weltweiter Reisen über die verschiedenen Verkehrsnetze der Allianzpartner deutlich vereinfacht sowie beschleunigt und so Seamless Service zusätzlich auch auf der Ebene der Allianz als Vorteilsfaktor erkennbar sein. Im Zuge der skizzierten strategischen Ziele der Allianzen im Luftverkehr ist die zuvor diskutierte Positionierung der datenschutzorientierten Servicezuwendung zum Kunden also nicht nur innerhalb der einzelnen Partnerairlines zu realisieren. Sie muss ebenso auch auf der strategisch übergreifenden Ebene der Allianzen vollzogen werden. Nur so kann der – im Hinblick auf Kundenorientierung und Geschäftserfolg aller Partner strategisch erforderliche – Seamless Service effizient erbracht und als zusätzlicher Wettbewerbsvorteil der gesamten Allianz wirksam werden. Freundesgabe Büllesbach 2002 Selbstregulierter Datenschutz im internationalen Luftverkehr – eine Fallstudie 323 Als Mittel zur Realisierung einer allianzspezifischen Seamless Privacy in diesem Sinne bieten sich Ansätze der Selbstregulierung in besonderer Weise an. Aus der Sicht des Lufthansa Datenschutzes ist hier der erfolgversprechendste Weg derjenige einer Bündelung von selbstverpflichtenden Codes of Conduct oder Verhaltensregelungen beteiligter Partner zu einem entsprechenden – ebenfalls auf Selbstregulierung basierenden – allianzweiten und -verbindlichen Instrument. Dieses Konzept ist in besonderer Weise geeignet, weil sich generell zeigt, dass diese branchenspezifischen Allianzen vor allem dann erfolgsträchtig sind, wenn die kulturellen und wirtschaftsethischen Mentalitätsgrundlagen der Partnerunternehmen ähnlich oder zumindest weitgehend kompatibel sind. Dass dieser Faktor für ein übergreifendes Datenschutzverständnis in hohem Maße relevant ist, folgt aus der Tatsache, dass ein weltweiter, alle internationalen Airlines umgreifender Code of Conduct offensichtlich nicht praxisgerecht und rechtskonform realisierbar ist. Auf diesem Felde sehe ich eine bedeutende Zukunftsaufgabe des betrieblichen Datenschutzbeauftragten (bDSB) in nach deutschem Recht verfassten weltweit tätigen Unternehmen (»German based companies« nach Alfred Büllesbach) des Luftverkehrs. Dem bDSB sind – vom Regelungsansatz des deutschen Datenschutzrechts her gesehen: zu Recht – weitgehend keine direkt gestaltenden und anordnenden Kompetenzen zugewiesen. Er muss vielmehr auf Einflussnahme auf das betriebliche Geschehen durch »Hinwirken« zurückgreifen. Letztlich bleiben also auch hier Geduld und langer Atem als eher triviale aber einzig verfügbare Managementinstrumente im betrieblichen Datenschutz. 3. Selbstregulierte Kooperation zwischen externem und internem Datenschutzaudit Nachvollziehbare und glaubwürdige Kommunikation sowie die strategische Nutzung der gesetzlichen Unabhängigkeit des bDSB ist für global agierende deutsche Unternehmen mit weltweit sehr vielen Millionen natürlicher Personen als Kunden ein bedeutendes und konstitutives Instrument zur Schaffung von Kundenvertrauen. Dies trifft in besonderer Weise für den Luftverkehr zu: Bei der Deutschen Lufthansa AG schafft die Nutzung von etwa 50 Millionen Passenger Name Records (Informationen über gebuchte Reisen einschließlich operativer und abrechnungstechnischer Ergänzungsdaten) pro Jahr komplexe Datenschutzrisiken. Ihnen ist nur durch vertrauenerweckende d. h. auch im transkulturellen weltweiten Kontext einleuchtende Datenschutzorientierung der Airline zu begegnen. Die konstruktive Nutzung der Unabhängigkeit des bDSB besteht hier darin, ihn den Kunden als vertrauenswürdigen »privacy touch point« und »privacy first level support« anzubieten. Freundesgabe Büllesbach 2002 324 Kranz Flugpassagiere entstammen vielfältiger nationaler, kultureller, ethnischer und sozialer Herkunft und Zugehörigkeit. Vor diesem Hintergrund ist die Regelung eines externen Datenschutzaudit nach § 9a Satz 1 BDSG nicht als gesetzlich regulierender Eingriff kommunizierbar, der die faktische Unabhängigkeit des bDSB unbeeinträchtigt ließe. Diese für die Wirksamkeit des Datenschutzes im internationalen Luftverkehr wenig hilfreiche Situation sollte durch entsprechende, diesen Konflikt lösende Regelungen im noch offenen Datenschutzauditgesetz nach § 9a Satz 2 BDSG beseitigt werden. Diese Lücke kann bis dahin – als strategisch bedeutender Ansatz selbstregulierten Datenschutzes – durch eine situationsgerechte Beauftragung externer Datenschutzauditoren geschlossen werden: Der bDSB sollte darauf hinwirken, dass diese Aufträge den Auftragnehmer verpflichten, über das Auditergebnis (einschließlich der Erteilung und Nichterteilung von Datenschutzsiegeln) das fachliche Einvernehmen mit dem bDSB herzustellen. Erste praktische Erfahrungen mit diesem Vorgehen zeigen, dass es praktikabel und effizient ist. Professionelle Anbieter der Dienstleistung Datenschutzaudit sehen in diesem kooperativen Vorgehen eine geeignete Basis für den zielgerichteten und erfolgreichen Aufbau dieses neuen Geschäftsfeldes der Beratungsbranche. 4. Selbstregulierter Datenschutz: Praktische Probleme und Lösungsansätze In der praktischen Arbeit des an der Förderung selbstregulierten Datenschutzes orientierten bDSB im Luftverkehr zeigen sich in Teilbereichen – im Grundsatz lösbare – Probleme. Sie erfordern aus heutiger Sicht für die mittlere Zukunft erheblichen Einsatz der weltweiten Privacy Community. 4.1 Einbezug der Verbraucher Ein erhebliches Problem besteht – vor dem Hintergrund der oben erläuterten Ansätze kundenorientierten Datenschutzes im Luftverkehr – immer noch in dem Mangel an konstruktiven Kooperationsstrukturen zwischen betrieblichem Datenschutz und Konsumenten(organisationen). Dieser sollte auf der Basis von Selbstregulierung behoben werden. Die Förderung dieses Ansatzes im Airline-Datenschutz ist im besonderen deshalb sinnvoll, weil angesichts der angestrebten deutlichen Kundenorientierung auch auf diesem Servicesektor konkrete Problemsichtweisen von Flugpassagieren effizient in die operative Gestaltung kundenorientierter Privacy einbezogen werden können. Hier sind kooperative Interaktionsprozesse auch deshalb anzustreben, weil sie hilfreich sind, die – beiderseitig – nicht immer präzise Wahrnehmung der wechselseitigen Handlungsstrategien und -ziele zu verstehen lernen. Freundesgabe Büllesbach 2002 Selbstregulierter Datenschutz im internationalen Luftverkehr – eine Fallstudie 325 Hinzu kommt, dass zwingend damit zu rechnen ist, dass gesetzliche Fremdregulierung auf den Plan gerufen würde, sollte es auf Basis des hier angeregten Selbstregulierungsprinzips nicht zu rechtlich und gesellschaftlich tragfähigen, einverständlichen Ergebnissen kommen. Eine Konsequenz, die für den globalen Luftverkehrsdatenschutz fatal wäre. 4.2 Kundenbindungsprogramme Ein weiteres an Selbstregulierung zu orientierendes Handlungsfeld betrieblichen Datenschutzes sind die Auswirkungen der zunehmenden Etablierung von Kundenbindungsprogrammen (KBP). (Hier hat der Luftverkehr nur zur Zeit noch ein in der Relation bedeutendes branchenspezifisches Problemfeld: Weitere Service- und Industriebranchen mit sehr großen Kundenzahlen im Konsumentenbereich folgen hier sehr schnell.) Die Deutsche Lufthansa AG ist hier seit vielen Jahren in Deutschland in einer Vorreiterrolle. Sie wurde dies vor allem deswegen weil insbesondere USKonkurrenten bereits seit Ende der 70er Jahre in Kundenbindungsaktivitäten auf der Basis von Kundenkarten durch Gewährung von Rabatten und sonstigen vielfältigen Prämien vorgeprescht waren. Ihnen musste auch die Lufthansa folgen, da das Angebot des »Sammelns von Meilen« zu einem äußerst erfolgsrelevanten Wettbewerbsvorteil im internationalen Luftverkehr wurde. Dabei war gegen erhebliche wettbewerbs- und rabattrechtliche Hemmnisse anzukämpfen, die erst im Jahre 2001 durch gesetzliche Änderungen weitgehend beseitigt wurden. Damit sind jedoch noch nicht alle Probleme, die sich in Deutschland und den übrigen EG-Mitgliedstaaten hinsichtlich anzuwendender rechtlicher Vorschriften und teilweise kritischer Haltung von Verbraucherseite ergeben, gelöst. Hinzu kommt, dass die Entwicklung auf dem Gebiet des Betriebs von Kundenbindungsprogrammen – als im besonderen in Deutschland völlig neuartiger Geschäftsidee – in hohem Maße dynamisch wachsend erfolgt. Dieser Hintergrund bewirkt, dass für die merklich zunehmende Zahl deutscher Unternehmen des Service- und Einzelhandelsbereichs, die Kundenbindungsprogramme entwickeln, erheblicher Handlungs- und Gestaltungsbedarf im Hinblick auf dezidiert datenschutzgerechte Einrichtung der entsprechenden Geschäftsprozesse besteht. Dabei ist zu beachten, dass klare und von allen Beteiligten (neben den Programmbetreibern i. w. betroffene Kunden, datenschutzrechtliche Aufsichtsbehörden und Konsumentenorganisationen) akzeptierte Verhaltensrahmen im Sinne von anerkannten Best-PracticeProzessen oder Codes of Conduct auch wegen der erwähnten hohen Dynamik in der Realisierung der neuen Geschäftsideen noch nicht entwickelt sind. Aus Sicht des Lufthansa-Datenschutzes soll dieser formalrechtlich und wirtschaftsethisch unklaren – und daher langfristig auch im Sinne von verpflichtender Kundenorientierung nicht akzeptablen – Situation durch selbstregulierenden Datenschutz abgeholfen werden. Freundesgabe Büllesbach 2002 326 Kranz Wir initiierten daher die Gründung eines Arbeitskreises von Datenschutzexperten aus verschiedenen deutschen Großunternehmen, die ebenfalls Kundenbindungssysteme betreiben oder zukünftig einführen wollten. Ziel des Kreises ist es seitens der Wirtschaft den Dialog sowohl miteinander als auch mit datenschutzrechtlichen Aufsichtsbehörden und Verbraucherverbänden zu suchen. Dabei soll die Diskussion um Kunden- und Rabattkarten in sachlicher Auseinandersetzung geführt werden. So sollen einverständlich Regeln festgelegt werden, die den einzelnen Konsumenten als Mitgliedern von Kundenbindungsprogrammen ein hohes Maß an Transparenz verschaffen. Sie sollen so überzeugt werden, dass ihre personenbezogenen Daten nicht nur im rechtlich zulässigen Rahmen verarbeitet werden und somit der Datenschutz strikt beachtet wird – was wirtschaftsethisch eine triviale Selbstverständlichkeit ist. Darüber hinaus soll ihnen transparent und nachvollziehbar verdeutlicht werden, dass die Datenverwendungsprozesse der Programme außerdem auch auf vielfältige Weise in ihrem eigenen sonstigen Interesse erfolgen. 5. Selbstregulierung: Aufgabe für die weltweite Data Protection Community Selbstregulierender Datenschutz ist aus vielfältigen operativen und strategischen Gründen Gebot der Stunde und wesentliche Anforderung der Zukunft im Datenschutz des internationalen Luftverkehrs. Die Data Protection Community des privaten Sektors ist herausgefordert, für Kunden, Aktionäre und Mitarbeiter adäquate Lösungen zu finden und auf ihre Befolgung hinzuwirken. Dieses muss – je nach Tragweite des konkreten Datenschutzproblems – auf nationaler oder internationaler, auf branchenspezifischer oder – übergreifender Ebene erfolgen. Für die Kernprobleme des globalen Passagierdatenschutzes im Luftverkehr sollte dies innerhalb der strategischen Allianzen erfolgen, die heute State of the Art im Luftfahrtmanagement sind. Freundesgabe Büllesbach 2002 327 6. HERAUSFORDERUNGEN DES STRAFRECHTS Hansjörg Geiger Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 1. Der Internationale Strafgerichtshof 1.1 Vorgeschichte 1.1.1 Ursprünge Unter dem Eindruck der Grausamkeiten des deutsch-französischen Krieges 1870/71 legte der Präsident des Internationalen Komitees des Roten Kreuzes, Gustave Moynier, bei einer Konferenz des Roten Kreuzes am 3.1.1872 einen ersten Entwurf für die Errichtung eines Internationalen Strafgerichtshofs vor. Der Strafgerichtshof sollte für Kriegsverbrechen nach der Genfer Konvention vom 22. 8. 1864 und seiner Zusatzartikel zuständig sein. Moynier schlug ein internationales Strafgericht vor, nachdem er »die Unzulänglichkeit einer rein moralischen Sanktion« (»l’insuffisance d’une sanction purement morale«) hatte erkennen müssen. Die Kriegsparteien warfen sich zwar gegenseitig Verstöße gegen das Kriegsrecht vor, aber es bestand keine Möglichkeit, diese Vorwürfe objektiv zu überprüfen – geschweige denn, die Verantwortlichen zu bestrafen oder den entstandenen Schaden durch Entschädigung wiedergutzumachen. Sein Vorschlag war nicht bis in das letzte Detail ausgearbeitet. Moynier erhoffte sich vor allem einen Denkanstoß. Es reichte ihm, »...wenn nur dieser Vorschlag eine ernsthafte Diskussion der von mir erhobenen Frage zwischen den Fachleuten hervorruft (»...si seulement cette communication provoquait, de la part des hommes compétents, une étude sérieuse de la question que j’ai soulevée.«). 1.1.2 Der Erste Weltkrieg Nach dem Ersten Weltkrieg wurde in den Friedensvertrag von Versailles eine Bestimmung aufgenommen, wonach der ehemalige Deutsche Kaiser sich vor einem eigens hierfür zu bildenden internationalen Gerichtshof wegen »schwerster Verletzung des internationalen Sittengesetzes und der Heiligkeit der Verträge« verantworten sollte. Der Gerichtshof sollte aus fünf Richtern bestehen, die jeweils von den Vereinigten Staaten von Amerika, Großbritannien, Frankreich, Italien und Japan zu ernennen waren, und sollte auf der Grundlage »der erhabenen Grundsätze der internationalen Politik ... den feierlichen Verpflichtungen und internationalen Sittengesetzen« urteilen. Ein Verfahren Freundesgabe Büllesbach 2002 328 Geiger fand nicht statt, da die Niederlande den ehemaligen Kaiser nicht auslieferten. Der Friedensvertrag räumte weiterhin den alliierten und assoziierten Mächten das Recht ein, Verfahren gegen deutsche Staatsangehörige wegen »Verstoßes gegen die Gesetze und Gebräuche des Krieges« vor ihre Militärgerichte zu ziehen (Artikel 228). Hierzu kam es jedoch nicht. Die Prozesse wegen Kriegsverbrechen fanden vor dem Reichsgericht in Leipzig als nationalem Gericht statt, das nationale Straftatbestände anwandte (sog. Leipziger Prozesse). 1.1.3 Die Zeit nach dem Ersten Weltkrieg In der Folgezeit gab es weitere – auch wissenschaftliche – Bemühungen um das Völkerstrafrecht und die Errichtung eines Internationalen Strafgerichtshofs. Gegenstand dieser Bemühungen war zunächst die Bekämpfung des Terrorismus. Am 8.10.1934 fielen in Marseille König Alexander I. von Jugoslawien und der französische Ministerpräsident Barthou einem Attentat zum Opfer. Am 16.11.1937 wurden auf einer vom Völkerbundrat in Genf einberufenen diplomatischen Konferenz zur Bekämpfung des Terrorismus zwei Konventionen beschlossen: – die »Konvention zur Verhütung und Bestrafung des Terrorismus« (»Convention for the Prevention and Punishment of Terrorism«) und – eine »Konvention zur Errichtung eines Internationalen Gerichts» (»Convention for the Creation of an International Criminal Court«). Das Internationale Gericht sollte die Zuständigkeit zur Aburteilung von Verbrechen des Terrorismus haben – allerdings stand es den Vertragsstaaten völlig frei, ob sie einen Fall vor die nationalen Gerichte oder das internationale Gericht bringen würden. 24 Staaten zeichneten den ersten, 13 Staaten den zweiten Vertrag. Während die erste Konvention noch von Indien ratifiziert wurde und Mexiko ihr 1939 unter Vorbehalt beitreten wollte, wurde die zweite nie ratifiziert, da schon bald der Zweite Weltkrieg ausbrach. 1.1.4 Zweiter Weltkrieg Unter dem Eindruck der Verbrechen gegen das Völkerrecht während des Zweiten Weltkrieges – und ganz besonders des Holocaust – wurden die Internationalen Militärgerichtshöfe in Nürnberg und Tokio als erste internationale Strafgerichte geschaffen. Das Statut des Internationalen Militärgerichtshofs in Nürnberg (Charter of the International Military Tribunal) wurde 1945 als Anhang des Londoner Abkommens über die Verfolgung und Bestrafung der Hauptkriegsverbrecher beschlossen. Neben den vier alliierten Staaten traten dem Abkommen und dem Statut noch während der Prozesse 19 weitere Staaten bei. Schon im Januar 1942 hatten die in London ansässigen Exilregierungen von neun europäischen Staaten in der »Declaration of St. James« die gerichtliche Bestrafung der Kriegsverbrecher gefordert. Im Freundesgabe Büllesbach 2002 Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 329 November 1943 hatten sich die Vereinigten Staaten, die Sowjetunion und Großbritannien in der »Moskauer Erklärung« auf die Bestrafung der deutschen Kriegsverbrecher geeinigt, wobei die »Hauptkriegsverbrecher, deren Rechtsverletzungen keine bestimmten geographischen Begrenzungen haben, ...auf Grund eines gemeinsamen Beschlusses der Regierungen der Alliierten bestraft werden sollten.« Am 18.10.1945 wurde vor dem Internationalen Militärtribunal in Nürnberg der Prozess gegen 22 Angeklagte eröffnet. Durch Urteil vom 1.10.1946 sprach das Gericht gegen zwölf Angeklagte die Todesstrafe und gegen sieben Angeklagte Freiheitsstrafen aus. Drei Angeklagte wurden freigesprochen. Zu den großen Errungenschaften von Nürnberg gehört, dass zum ersten Mal die schwersten Verbrechen überhaupt als völkerstrafrechtliche Tatbestände formuliert wurden. Dies sind Verbrechen gegen den Frieden, Kriegsverbrechen und Verbrechen gegen die Menschlichkeit, die auch die »Ausrottung«, also den Völkermord, umfassen. Jede spätere völkerstrafrechtliche Kodifikation baut auf diesen Definitionen auf. Erstmals wurden Grundsätze individueller Verantwortlichkeit formuliert. Ein historisches Vermächtnis von Nürnberg sind auch die Anstöße, die von dem Nürnberger Modell für die Kodifizierung des internationalen Strafrechts und für die Schaffung eines ständigen internationalen Strafgerichts ausgingen. Mit dieser neuen Rechtsentwicklung verbanden sich große Hoffnungen. Der deutsche Völkerrechtler Professor Dr. Hermann Jahrreiß sagte hierzu in seinem Plädoyer vor dem Internationalen Militärtribunal: »Die Vorschriften des Statuts ... sind revolutionär. Vielleicht gehört ihnen das Hoffen und Sehnen der Völker der Zukunft« (zitiert nach Heydecker u. Leeb 1958, S. 9). Der amerikanische Hauptankläger Robert H. Jackson erklärte bei der Eröffnung des Prozesses vor dem Internationalen Militärtribunal in Nürnberg: »Die Vernunft der Menschheit verlangt, dass das Gesetz sich nicht genug sein lässt, geringfügige Verbrechen zu bestrafen, die sich kleine Leute zuschulden kommen lassen. Das Gesetz muss auch die Männer erreichen, die eine große Macht an sich reißen und sich ihrer mit Vorsatz und in gemeinsamem Ratschlag bedienen, um ein Unheil hervorzurufen, das kein Heim in der Welt unberührt lässt... Der letzte Schritt um periodisch wiederkehrende Kriege zu verhüten, die bei internationaler Gesetzlosigkeit unvermeidlich sind, ist, die Staatsmänner vor dem Gesetz verantwortlich zu machen... Lassen Sie es mich deutlich aussprechen: Dieses Gesetz wird hier zwar zunächst auf deutsche Angreifer angewandt, es schließt aber ein und muss, wenn es von Nutzen sein soll, den Angriff jeder anderen Nation verdammen.« (zitiert nach Heydecker u. Leeb 1958, S. 9). Die Nürnberger Prozesse, die für das Völkerstrafrecht zweifelsohne Maßstäbe gesetzt hatten, wurden jedoch auch kritisch gesehen. Einer der Hauptvorwürfe war der Vorwurf der »Sieger-Justiz«. Das Nürnberger Militärtribunal sei ein von den vier alliierten Staaten geschaffenes Besatzungsgericht gewesen, das den Interessen der Siegermächte gedient habe. Aber unter völkerrechtlichen Gesichtspunkten steht einem Staat durchaus das Recht zu, die Freundesgabe Büllesbach 2002 330 Geiger in seinem Gewahrsam befindlichen Gefangenen für die Kriegsverbrechen abzuurteilen, die sie auf der Gegenseite begangen hatten. Natürlich war auch keine Gegenseitigkeit gegeben. Mögliche Kriegsverbrechen der Alliierten blieben ungeprüft. Die deutsche Justiz, die durch die NS-Zeit schwer belastet war, wäre hierfür jedenfalls keineswegs geeignet gewesen. Golo Mann (Mann 1966, S. 972) hat zwanzig Jahre nach den Nürnberger Prozessen folgende Bewertung abgegeben: »Sieger-Justiz ohne Zweifel und dadurch beeinträchtigt, dass nach den ›Kriegsverbrechen‹ der Sieger niemand fragen durfte; aber wer sonst hätte den Prozess führen sollen?«. Es wurde darüber hinaus kritisiert, dass der Grundsatz »nulla poena sine lege« verletzt sei, weil das Statut Straftatbestände geschaffen habe, die es so vorher nicht gegeben habe. Tatsächlich waren aber Kriegsverbrechen bereits seit der ersten Genfer Rote-Kreuz-Konvention vom 22.8.1864 und den späteren Genfer Abkommen in völkerrechtlichen Verträgen kodifiziert. Bei den Verbrechen gegen die Menschlichkeit handelte es sich um dermaßen schwerwiegende Verstöße gegen elementare, in allen Rechtsordnungen verankerte Prinzipien, dass auch von einem völkergewohnheitsrechtlichen Verbot ausgegangen werden konnte. Für die Verbrechen gegen den Frieden konnte auf die Ächtung des Angriffskrieges im Briand-Kellogg-Pakt von 1928 Bezug genommen werden. Der deutsche Angriff auf Polen ist sicherlich einer der Grundfälle eines Aggressionskrieges, der auch heute noch in den Verhandlungen zu diesem Tatbestand als Referenzpunkt gilt. Sowohl für die Verbrechen gegen die Menschlichkeit als auch für das Verbrechen des Angriffskrieges gab es jedoch noch keine ausdrücklichen Regeln über die individuelle Verantwortlichkeit. Diesem Problem stellte USChefankläger Jackson folgenden Lösungsansatz entgegen: »In Deutschland selbst legt Artikel 4 der Weimarer Verfassung fest, dass allgemein anerkannte Regeln des Völkerrechts als wesentlicher Bestandteil des deutschen Reichsrechts zu gelten haben. Welch andere Bedeutung kann alles dies im Ergebnis haben, als dass die Regeln des Völkerrechts auch für Einzelpersonen bindend sind? Sollen wir von diesem Grundsatz nur deswegen abweichen, weil wir es mit den schwersten aller Verbrechen zu tun haben... gegen den Frieden der Völker und ... gegen die Menschlichkeit? ... Das Prinzip der Souveränität des Staates, das die Taten dieser Menschen decken soll, erscheint nur als Maske. Wenn man die Maske fortnimmt, erscheint die Verantwortung der Menschen wieder.« (zitiert nach Kastner JA 1995, 802). Nürnberger Prozesse sind sicherlich nicht über jede Kritik in Einzelpunkten erhaben. Aber sie sind in ihrem historischen Kontext zu sehen: Sie boten erstmals ein Strafverfahren als Reaktion auf unsägliche Grausamkeit, Tod und Vernichtung. Und als solche sind sie ein bedeutender Meilenstein. Im Ergebnis steht außer Zweifel – wie der bekannte Völkerstrafrechtler Professor Bassiouni zutreffend ausführt – »dass das Tribunal fair handelte und dass die Verfahren in einem von Würde geprägten gerichtlichen Verfahren stattfanden«. (Bassiouni 1995, S. 15). Freundesgabe Büllesbach 2002 Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 331 1.1.5 Weitere Arbeiten im Rahmen der Vereinten Nationen Am 9.12.1948 verabschiedete die Generalversammlung der Vereinten Nationen die Konvention über die Verhütung und Bestrafung des Völkermords. Die Konvention geht in ihrem Artikel 6 einerseits von einer universellen Zuständigkeit der nationalen Gerichte, andererseits aber auch von der Schaffung eines internationalen Strafgerichts aus: »Personen, denen Völkermord oder eine der sonstigen in Artikel III aufgeführten Handlungen zur Last gelegt wird, werden vor ein zuständiges Gericht des Staates, in dessen Gebiet die Handlung begangen worden ist, oder vor das internationale Strafgericht gestellt, das für die vertragsschließenden Parteien, die seine Gerichtsbarkeit anerkannt haben, zuständig ist.« An demselben Tag beschloss die Generalversammlung eine Resolution über die Prüfung eines internationalen Strafgerichtshofs. In ihrer ersten Sitzung 1946 hatte die Generalversammlung der Vereinten Nationen die »Nürnberger Grundsätze« bekräftigt und die International Law Commission (ILC), die Völkerrechtskommission der Vereinten Nationen, ersucht, diese Grundsätze zu formulieren. 1950 legte die ILC die sieben Prinzipien von Nürnberg vor. In der Generalversammlung konnte über den Inhalt keine Einigung erzielt werden, so dass lediglich die Mitgliedstaaten zur Stellungnahme aufgefordert wurden. 1954 erarbeitete die ILC den Entwurf einer »Kodifikation über Verstöße gegen den Frieden und die Sicherheit der Menschheit« (»Draft Code of Offences against the Peace and Security of Mankind«). Die Arbeiten an dem Entwurf wurden noch in demselben Jahr ausgesetzt, da die sozialistischen Staaten im Rechtsausschuss der Generalversammlung darauf beharrten, die Strafgerichtsbarkeit gehöre zu den Elementen der Souveränität, während die westlichen und blockfreien Staaten argumentierten, das materielle Recht könne nicht festgelegt werden, solange kein Gericht bestehe. 1974 verabschiedete die Generalversammlung eine Definition des Angriffskrieges (Aggression) (3314 (XXIX) v. 14.12.1974) und die Arbeiten wurden im 6. Ausschuss – gegen den Widerstand der westlichen Industrieländer – wieder aufgenommen. Ab 1982 befasste sich die ILC wieder mit dem überarbeiteten Entwurf, der ab 1987 »Draft Code of Crimes against the Peace and Security of Mankind« hieß. 1989 forderte die Generalversammlung auf einen Antrag von Trinidad/ Tobago hin die ILC auf, die Arbeiten an der Errichtung eines Internationalen Strafgerichtshofs wieder aufzunehmen. 1991 verabschiedete die ILC eine Neufassung des »Draft Code of Crimes against the Peace and Security of Mankind«, der den Mitgliedstaaten zur Stellungnahme zugeleitet wurde. Durch die Resolutionen 827/1993 und 955/1994 errichtete der Sicherheitsrat der Vereinten Nationen die Internationalen Strafgerichtshöfe für das ehemalige Jugoslawien und Ruanda. Die Tribunale wurden als friedenssichernde Maßnahmen unter Kapitel VII der VN-Charta geschaffen. Als Hintergrund für die Errichtung des Jugoslawien-Tribunals nennt Resolution 827: Freundesgabe Büllesbach 2002 332 Geiger »Widespread and flagrant violations of international humanitarian law ... including ... mass killings, massive, organised and systematic detention and rape of women, and the continuance of the practice of ›ethnic‹ cleansing, including for the acquisition and the holding of territory.« und fährt fort, dass der Gerichtshof errichtet wird, »Determined to put an end to such crimes and to take effective measures to bring to justice the persons who are responsible for them, Convinced, that in the particular circumstances of the former Yugoslavia the establishment as an ad hoc measure by the Council of an international tribunal and the prosecution of persons responsible for serious violations of international humanitarian law would enable this aim to be achieved and would contribute to the restoration and maintenance of peace, Believing that the establishment of an international tribunal and the prosecution of persons responsible for the above-mentioned violations of international humanitarian law will contribute to ensuring that such violations are halted and effectively redressed.« Die Reichweite derartiger Ad-hoc-Tribunale ist jedoch zwangsläufig zeitlich und regional begrenzt und unterliegt politischen Beschränkungen (Einigung der fünf ständigen Mitglieder des Sicherheitsrats erforderlich). 1994 legte die ILC einen Entwurf für ein Statut des Internationalen Strafgerichtshofs vor. 1995 gründete die Generalversammlung der Vereinten Nationen ein Vorbereitungskomitee für die Errichtung eines internationalen Strafgerichtshofs. Am 14. 4.1998 legte das Komitee das »Draft Statute for the International Criminal Court« vor, das die Grundlage für die Verhandlungen in Rom bildete. 1.2 Diplomatische Konferenz in Rom Vom 15. 6. bis 17. 7. 1998 tagte folglich in Rom die »United Nations Diplomatic Conference on the Establishment of an International Criminal Court« unter der Präsidentschaft von Professor Giovanni Conso. Vorsitzender des Gesamtkomitees (Committee of the Whole) war der kanadische Delegierte Phillippe Kirsch, dem der Erfolg der Konferenz ganz maßgeblich mit zu verdanken ist. Nach bilateralen und Gruppenkonsultationen präsentierten Kirsch und das Konferenzbüro nacheinander Diskussionspapiere, in denen verschiedene Optionen zu ungelösten Kernfragen, insbesondere der Frage der Jurisdiktion, aufgelistet waren. Über diese Diskussionspapiere wurden Orientierungsaussprachen abgehalten. Jeder Staat, der sich zu Wort meldete, hatte seinen Standpunkt zu den präzisen vom Büro, dem Steuerungsgremium der Konferenz, formulierten Fragen vorzutragen. Durch dieses Vorgehen wurde die Diskussion auf die wesentlichen Fragen konzentriert, der Meinungsbildungsprozess wurde beschleunigt und das Büro hatte eine solide, empirische Basis, um mehrheitsfähige Entwürfe vorzulegen. Freundesgabe Büllesbach 2002 Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 333 Die Frage der Gerichtsbarkeit des Internationalen Strafgerichtshofs (IStGH) war eine der umstrittensten Fragen in Rom. Diejenigen Staaten, die strikt auf die Wahrung ihrer Souveränität bedacht waren, wollten hier die geringsten Zugeständnisse machen. Unstreitig waren die Begrenzung der Gerichtsbarkeit auf die vier Kernverbrechen (Völkermord, Verbrechen gegen die Menschlichkeit, Kriegsverbrechen und Aggression) und das Prinzip der Komplementarität (subsidiäre Zuständigkeit des IStGH nur, wenn der zuständige Staat nicht verfolgen kann oder will). Streitig war jedoch, unter welchen weiteren Voraussetzungen der IStGH seine Gerichtsbarkeit ausüben soll. Nach drei Wochen Konferenz waren im Wesentlichen noch drei Vorschläge auf dem Tisch: 1. Der Opt in / Opt out approach sah vor, dass die Vertragsstaaten die Gerichtsbarkeit des IStGH für bestimmte Taten (z.B. nur für Verbrechen gegen die Menschlichkeit, nicht aber für Kriegsverbrechen) und für bestimmte Zeitspannen wählen können. Dies war der ursprüngliche Vorschlag der ILC. 2. Dem State Consent Régime zufolge müssen alle betroffenen Staaten zustimmen, damit ein Verfahren vor dem IStGH durchgeführt werden kann. Dieser Vorschlag stammte ursprünglich von Frankreich. In dieser absoluten Form war er aber nicht mehr Grundlage der Verhandlungen. Einige Staaten, insbesondere die USA, favorisierten ein Modell, wonach zumindest der Staat, dem der Täter angehört, zustimmen muss. 3. Der Ansatz der automatischen Jurisdiktion sah vor, dass die Vertragsstaaten mit der Ratifikation des Statuts die Jurisdiktion des IStGH akzeptierten. Nach einer von nichtstaatlichen Organisationen erstellten Statistik sprachen sich im Laufe der Konferenz 73 % der Staaten für eine automatische Jurisdiktion aus. Damit war jedoch noch nicht die Frage gelöst, welche Staaten Vertragsstaaten sein müssen, damit diese Rechtsfolge eintritt. Großbritannien vertrat die Auffassung, der Staat, auf dessen Territorium die Tat begangen wurde (Tatortstaat), müsse Vertragsstaat sein. Deutschland war der Ansicht, der IStGH solle die automatische universelle Jurisdiktion haben unabhängig von Tatort und Staatsangehörigkeit des Täters oder des Opfers. Südkorea favorisierte die automatische Gerichtsbarkeit, wenn der Tatortstaat, der Gewahrsamsstaat (der den mutmaßlichen Täter in Haft hat), der Staat, dem eines oder mehrere der Opfer angehören, oder der Staat, dem der Täter angehört, Vertragsstaat ist. Der südkoreanische Kompromissvorschlag erhielt sehr große Unterstützung und wurde zeitweilig den weiteren Verhandlungen zugrunde gelegt. Aufgrund weiterer Kompromisse findet er sich jedoch nur in einer eingeschränkten Form im Statut wieder. Diese Kompromisse beruhten auf dem Drängen der ständigen Mitglieder des Sicherheitsrates. Am 16. Juli 1998, dem vorletzten Tag der Konferenz, legte das Konferenzbüro einen sorgfältig austarierten Entwurf für ein Statut vor. Diesem Entwurf traten nur noch Indien und die USA mit weitreichenden ÄnderungsvorschläFreundesgabe Büllesbach 2002 334 Geiger gen entgegen. Indiens Änderungsvorschläge mit der Einbeziehung des Einsatzes von Nuklear- oder anderer Massenvernichtungswaffen in die Gruppe der Kriegsverbrechen und mit der Beschneidung von mühsam ausgehandelten Kompetenzen des Sicherheitsrates hätten den ständigen Sicherheitsratsmitgliedern die Annahme des Kompromisspakets wohl unmöglich gemacht und damit die Konferenz insgesamt scheitern lassen. Die Änderungsvorschläge der USA zielten darauf ab, die Gerichtsbarkeit des künftigen Gerichtshofs ausschließlich auf solche Fälle zu beschränken, in denen der jeweilige Heimatstaat, auch wenn er nicht Vertragspartei wäre, der Ausübung der Gerichtsbarkeit über den Täter zustimmen würde. Auch der Antrag der USA hätte das Kompromisspaket gesprengt. Die beiden dargestellten Änderungsvorschläge wurden prozedural dadurch erledigt, dass die Konferenz beschloss, sich nicht mit ihnen zu befassen. Schließlich wurde das Statut des Internationalen Strafgerichtshofs nach bis zum Schluss offenen und zum Teil dramatischen Verhandlungen von einer überwältigenden Mehrheit von 120 Staaten, darunter allen EU-Staaten, angenommen. Sieben Staaten stimmten gegen das Statut. 21 Staaten enthielten sich der Stimme. Die Abstimmung erfolgte nicht namentlich. Es ist jedoch bekannt, dass USA, China, Israel, Irak, Libyen, Jemen und Katar gegen das Statut stimmten. Die USA lehnten die Jurisdiktion des IStGH über Nichtvertragsparteien ab. Sie beharrten darauf, dass bereits das Statut die Rolle des Sicherheitsrates bei der Bestimmung des Vorliegens einer Aggression festschreiben solle. China sah die Befugnisse des Anklägers nicht ausreichend durch die Vorverfahrenskammer begrenzt. 1.3 Überblick über das Römische Statut Die Annahme des Römischen Statuts, das seinen Namen vom Tagungsort der Konferenz ableitet, ist ein historischer Schritt. Mit ihm wird erstmals ein ständiger internationaler Strafgerichtshof geschaffen. Das Statut enthält erstmals einen allgemeinen Teil des materiellen Völkerstrafrechts und für das Verfahren vor dem IStGH eine »kleine Völkerstrafprozessordnung«, die aus den verschiedenen Rechtstraditionen entwickelt worden ist. Die Eckpfeiler des Römischen Statuts bilden die vier Deliktsgruppen, der Grundsatz der Komplementarität sowie die Definition seiner Gerichtsbarkeit, seiner Zuständigkeit und der verfahrensauslösenden Situationen. – Deliktsgruppen Der zukünftige Internationale Strafgerichtshof (IStGH) mit Sitz in Den Haag soll schwerste Verbrechen verfolgen, die die internationale Gemeinschaft als Ganzes betreffen: Völkermord, Kriegsverbrechen, Verbrechen gegen die Menschlichkeit und das Verbrechen der Aggression. Freundesgabe Büllesbach 2002 Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 335 Entgegen der bisherigen Tradition der Völkerstrafgerichtsbarkeit werden die Völkerstraftaten nicht lediglich durch Begriffe angedeutet, die der inhaltlichen Ausfüllung durch das Völkergewohnheitsrecht bedürfen. Vielmehr werden die einzelnen Tatbestände in den Artikeln 6 bis 8 des Römischen Statuts ausformuliert. Artikel 22 Abs. 1 des Römischen Statuts legt zudem fest, dass der Internationale Strafgerichtshof nur auf der Grundlage der im Statut niedergelegten Tatbestände judizieren darf. Insbesondere den USA ging der Schritt zu mehr Bestimmtheit nicht weit genug. Sie beharrten auf der Erarbeitung verbindlicher Verbrechenselemente zur strengeren Eingrenzung der Verbrechenstatbestände. Daher wurden dem Römischen Statut Verbrechenselemente als allerdings nicht verbindliche Auslegungsmerkmale beigefügt. Die Aufnahme des Völkermordtatbestands bereitete in den Verhandlungen die geringsten Schwierigkeiten. Artikel 6 des Römischen Statuts entspricht Artikel II der Konvention über die Verhütung und Bestrafung des Völkermordes vom 9. 12.1948. Das Verbrechen des Völkermordes, das der Internationale Strafgerichtshof für Ruanda als »the crime of crimes« bezeichnet hat, bezieht sein besonderes Gewicht aus dem subjektiven Merkmal der Absicht, eine nationale, ethnische, rassische oder religiöse Gruppe ganz oder teilweise zu zerstören. In Artikel 7 des Römischen Statuts wird die Tatbestandsgruppe der Verbrechen gegen die Menschlichkeit definiert. Sie stellt schwerste Menschenrechtsverletzungen auch in Friedenszeiten unter Strafe. Das Römische Statut etabliert hiermit einen über den eng begrenzten Völkermordtatbestand hinausgehenden und gegenüber den Kriegsverbrechen selbstständigen Völkerstraftatbestand zur Ahndung von Verletzungen bestimmter international anerkannter Menschenrechte (z.B. Tötung, Versklavung, Folter, Vergewaltigung, Deportation), soweit diese Verletzungen sich in einen ausgedehnten oder systematischen Angriff gegen die Zivilbevölkerung einfügen. Die in Artikel 8 des Römischen Statuts definierten Kriegsverbrechen bilden die Keimzelle des Völkerstrafrechts. Kriegsverbrechen sind nicht nur im Krieg zwischen Staaten, sondern auch im Bürgerkrieg begangene Taten. Den neueren völkerrechtlichen Bezugsrahmen für die Definition der einzelnen Kriegsverbrechen bilden die Genfer Abkommen vom 12. 8. 1949 und das Erste Zusatzprotokoll zu diesen Abkommen vom 8. 6. 1977 sowie die Haager Landkriegsordnung. Die Genfer Abkommen nehmen sich im Kern des Schutzes der Personengruppen außerhalb der eigentlichen Kampfhandlungen an, während das Erste Zusatzprotokoll und die Haager Landkriegsordnung im Kern völkerrechtliche Kampfführungsbestimmungen enthalten. Verstöße gegen die in diesen Abkommen enthaltenen und im Römischen Statut definierten Schutzvorschriften führen die Strafbarkeit eines Täters gemäß Artikel 8 herbei. Nach Artikel 8 Abs. 2 Buchstabe f gilt dies in bestimmten Fällen auch für Bürgerkriegsverbrechen. Noch nicht im Römischen Statut definiert ist der Begriff der Aggression, über dessen Definition trotz jahrzehntelanger Diskussionen innerhalb der Freundesgabe Büllesbach 2002 336 Geiger Staatengemeinschaft bisher keine Einigkeit erzielt werden konnte. Die ständigen Sicherheitsratsmitglieder wollen stets die alleinige Kompetenz dieses Gremiums gemäß Artikel 39 der Charta der Vereinten Nationen gewahrt wissen, über das Vorliegen eines Angriffskrieges zu entscheiden. Neben der Staatenpraxis zu Artikel 39 der VN-Charta stellt die Definition des Aggressionskrieges durch die Generalversammlung der Vereinten Nationen vom 14.12.1974 einen wichtigen Ausgangspunkt für die Definition des Straftatbestandes der Aggression dar. Der Gerichtshof soll aber seine Zuständigkeit zur Aburteilung von Aggressionsverbrechen gemäß Artikel 5 Abs. 2 Satz 1 des Römischen Statuts erst dann ausüben können, wenn es den Staaten gelungen ist, eine völkerrechtliche Definition des Aggressionsbegriffs auszuarbeiten. Die entsprechenden Verhandlungen haben im Rahmen der Vorbereitungskommission für den Internationalen Strafgerichtshof begonnen. – Grundsatz der Komplementarität Der Gerichtshof soll gemäß dem in Artikel 17 des Römischen Statuts verankerten Grundsatz der Komplementarität immer dann tätig werden, wenn die innerstaatlichen Gerichte eine Tat nicht verfolgen können oder wollen. Ein Staat kann nicht verfolgen, wenn das innerstaatliche Justizsystem vollständig oder weitgehend zusammengebrochen ist. Ein Staat will nicht verfolgen, wenn er die Strafverfolgung verweigert, wenn das nationale Verfahren nur geführt wird, um die betreffende Person vor der strafrechtlichen Verantwortlichkeit vor dem IStGH zu schützen, wenn er das Verfahren ungerechtfertigt verzögert oder wenn er das Verfahren nicht unabhängig oder unparteilich gestaltet. – Gerichtsbarkeit, Zuständigkeit und Verfahrenseinleitung Zur Frage der Gerichtsbarkeit wurde im Ergebnis ein Kompromiss mit folgenden Elementen erreicht: Automatische (komplementäre) Jurisdiktion ist gegeben, wenn das fragliche Verhalten auf dem Hoheitsgebiet eines Staates, der Vertragspartei des Statuts ist, stattgefunden hat oder die beschuldigte Person die Staatsangehörigkeit eines Vertragsstaates hat (Artikel 12). Gemäß der Übergangsvorschrift in Artikel 124 kann jeder Staat für sieben Jahre die Jurisdiktion des IStGH für Kriegsverbrechen ausnehmen, die auf seinem Territorium oder durch seine Staatsangehörigen begangen werden (Zugeständnis wohl an Frankreich). Nichtvertragsstaaten können die Jurisdiktion des IStGH im Einzelfall anerkennen. Vom Sicherheitsrat ist die Jurisdiktion des Gerichtshofs unabhängig. Wohl aber kann auch der Sicherheitsrat ein Verfahren vor dem IStGH einleiten. Er kann sogar ein Verfahren vor dem IStGH für zwölf Monate aussetzen, wenn eine Gefahr für die Sicherheit und den Frieden vorliegt Freundesgabe Büllesbach 2002 Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 337 (Zugeständnis an die ständigen Mitglieder). Neben dem Sicherheitsrat und den Vertragsstaaten kann auch der Ankläger die Verfahrenseinleitung betreiben. Um den Internationalen Strafgerichtshof zu errichten, haben die Staaten überkommene Souveränitätsbedenken zurückgestellt. So bedarf der Ankläger beim IStGH zur Verfahrenseinleitung nicht der Zustimmung der betroffenen Staaten. Diese Unabhängigkeit des Anklägers stellt in den Augen der USAdministration, die keine Einschränkung ihrer Souveränität akzeptiert, den Hauptgrund für ihre ablehnende Haltung gegenüber dem Römischen Statut dar. Der Gerichtshof kann auch und gerade staatliche Repräsentanten zur Verantwortung ziehen. Er ist gemäß Artikel 27 des Römischen Statuts nicht an innerstaatliche Immunitätsregelungen gebunden. Auch Staatsoberhäupter und Regierungschefs können vor ihm angeklagt und von ihm verurteilt werden. Ebenso sind Abgeordnete, gewählte Vertreter und Regierungsbeamte der strafrechtlichen Verantwortung vor dem Internationalen Strafgerichtshof unterworfen. Die Gerichtsbarkeit des IStGH wird auch nicht durch internationale Immunitätsregelungen beschränkt. Sie unterliegt ebenso wenig Einschränkungen durch die jüngste Entscheidung des Internationalen Gerichtshofs (IGH) vom 14. 2. 2002 (Affaire relative au mandat d’arrêt du 11 avril 2000 – République démocratique du Congo c. Belgique). In dieser Entscheidung erklärte der Internationale Gerichtshof einen belgischen Haftbefehl gegen den ehemaligen Außenminister der Demokratischen Republik Kongo für völkerrechtswidrig, da der Außenminister jedenfalls zum Zeitpunkt des Haftbefehlserlasses noch amtierte und daher Immunität genoss. Ziel der Entscheidung des IGH war es zu verhindern, dass das Beziehungsgeflecht innerhalb der internationalen Staatengemeinschaft durch nationale Haftbefehle gegen Repräsentanten eines jeweils anderen Staates gestört wird. Internationale Gerichtshöfe wie den IStGH nimmt der IGH in seiner Entscheidung von dieser Kompetenzeinschränkung ausdrücklich aus. 1.4 Stand der Zeichnungen und Ratifikationen Bis zum Ende der Zeichnungsfrist am 31. 12. 2000 hatten 139 Staaten das Statut gezeichnet. Zu den Unterzeichnern »in letzter Minute« gehören auch Staaten, die dem Gerichtshof eher skeptisch gegenüberstehen, wie die USA, Israel und auch der Iran. Deutschland zeichnete das Statut am 10. Dezember 1998, dem fünfzigsten Jahrestag der Allgemeinen Erklärung der Menschenrechte, und ratifizierte es am 11. 12. 2000. Bei der feierlichen Hinterlegung von weiteren zehn Ratifikationsurkunden am 11. 4. 2002 während der neunten Tagung der Vorbereitungskommission lagen 66 Ratifikationsurkunden vor, sechs mehr als für das In-Kraft-Treten erforderlich. Das Römische Statut tritt somit am 1. 7. 2002 in Kraft. Freundesgabe Büllesbach 2002 338 Geiger 1.5 Bedeutung des Römischen Status im Verhältnis zu den Vereinigten Staaten von Amerika Die USA stimmten in Rom gegen das Statut. Hauptproblem war für sie neben der oben genannten Kompetenz des Anklägers, dass der IStGH unter Umständen auch Gerichtsbarkeit über die Staatsangehörigen von Nichtvertragsstaaten hat. Dies ist der Fall, wenn der mutmaßliche Täter im Tatortstaat festgenommen und von diesem an den IStGH überstellt wird. Die USA befürchten, dass amerikanische Soldaten sich im Rahmen von Auslandseinsätzen vor dem IStGH wiederfinden. Senator Jesse Helms brachte aus diesem Grund im US-Kongress den »American Servicemembers' Protection Act« ein, der die US-Administration u.a. verpflichten soll, nicht mit dem IStGH zusammenzuarbeiten, und der den US-Präsidenten ermächtigen soll, alle »notwendigen und geeigneten Maßnahmen« zu ergreifen, um US-Personal oder Angehörige verbündeter Streitkräfte zu befreien, die vom IStGH festgehalten werden. Die Umsetzung dieses kurz vor seiner Verabschiedung stehenden Gesetzes wird davon abhängen, ob und in welchem Umfang der US-Präsident von seinen Aufhebungsrechten in Bezug auf die einzelnen Vorschriften (»Waivers«) Gebrauch macht. Trotz der Bedenken der USA zeichnete die scheidende Clinton-Administration das Statut am 31. 12. 2001. Durch die Zeichnung sind die USA an das Statut gebunden und bis zur endgültigen Entscheidung über die Ratifikation nach Artikel 18 der Wiener Vertragsrechtskonvention verpflichtet, nichts zu unternehmen, was mit Ziel und Zweck des Römischen Statuts in Widerspruch steht. Die Bedenken der USA werden von einer Vielzahl amerikanisch dominierter nichtstaatlicher Organisationen unter dem Dach der »Coalition for the ICC«, »das andere Gesicht der USA«, nicht geteilt. Gerade die nichtstaatlichen Organisationen haben das Vorhaben des Internationalen Strafgerichtshofs erheblich vorangetrieben. Das Römische Statut kommt den Bedenken der USA darüber hinaus durch den in Artikel 17 verankerten Grundsatz der Komplementarität entgegen, aber auch durch Artikel 16, der dem Sicherheitsrat ein Recht auf aufschiebende Entscheidung hinsichtlich der Ermittlungen des Anklägers einräumt, sowie durch Artikel 124, der eine Aufschubfrist für die Verfolgung von Kriegsverbrechen gewährt. Es sollte – wie der 11. September 2001 deutlich gezeigt hat – auch im Interesse der USA liegen, dass ein wirkungsvoller Gerichtshof vorhanden ist, der autokratische Herrscher vor großangelegter Gewaltanwendung abschreckt. Mit militärischen Mitteln allein wird sich die Freiheit von fremder Gewalt nicht erreichen lassen. 1.6 Weiteres Vorgehen An den Internationalen Strafgerichtshof richten sich vielfältige Erwartungen. Viele sehen in ihm ein Instrument der Herrschaft des Rechts gegenüber staatFreundesgabe Büllesbach 2002 Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 339 lichem Machtmissbrauch. Damit der Gerichtshof diesem hohen Anspruch gerecht werden kann, muss er wirklich universell sein, d.h. er bedarf einer möglichst weltweiten Verbreitung seiner Vertragsstaaten. Der Schlüssel zum Erfolg des Gerichtshofs wird in seiner eigenen Hand liegen: Faire Entscheidungen mit Augenmaß, die frei von politischen Einflüssen sind, werden ihm Akzeptanz und Ansehen sichern. 2. Aspekte eines neuen Völkerstrafgesetzbuches Da das Römische Statut am 1. 7. 2002 in Kraft tritt, mithin der IStGH seine Arbeit in absehbarer Zukunft aufnehmen wird, muss unser eigenes innerstaatliches Recht möglichst schnell und vollständig auf die künftigen Anforderungen ausgerichtet werden. Dazu gehört ganz wesentlich die Gewährleistung einer effektiven Verfolgung von Völkerrechtsverbrechen vor den deutschen Gerichten. Diesem Anliegen soll das Völkerstrafgesetzbuch (VStGB) (BT-Drs. 14/8524) dienen, das für die nationale Verfolgung von Völkerrechtsverbrechen eine neue und verbesserte Rechtsgrundlage schafft. 2.1 Ziele des Völkerstrafgesetzbuches Dass sich der Gesetzentwurf zur Einführung des Völkerstrafgesetzbuches 1 (VStGBEG), der »mit Fug und Recht als ›großer Wurf‹ bezeichnet werden « darf, nun im Gesetzgebungsverfahren befindet, ist keine Selbstverständlichkeit. Denn eine völkerrechtliche Verpflichtung zur Schaffung des VStGB besteht nicht2 und die Straftaten, um die es im Völkerstrafgesetzbuch geht, nämlich die schwersten Verbrechen gegen das humanitäre Völkerrecht, sind im Wesentlichen schon nach dem bestehenden allgemeinen Strafrecht verfolgbar. Lange Zeit hat man dementsprechend eine ausreichende Pönalisierung durch das vorhandene deutsche Strafrecht angenommen. Erst der neue Anstoß durch das Römische Statut hat diese Haltung in den 3 letzten Jahren ins Wanken gebracht . Parallel dazu hat die neue Beteiligung der deutschen Bundeswehr an internationalen Friedensmissionen zu einer verstärkten Relevanz der Materie aus nationaler Sicht beigetragen. Der Entwurf eines VStGBEG verfolgt ausweislich seiner Begründung vier Ziele (BT-Drs. 14/8524, S. 12): Zunächst geht es darum, das spezifische Unrecht der Verbrechen gegen das Völkerrecht besser zu erfassen und Lücken auszufüllen. Zwar sind die Einzeltaten der Völkerrechtsverbrechen wie Mord, Vergewaltigung oder Folter im Wesentlichen schon nach allgemeinem Strafrecht verfolgbar. Dieses vermag jedoch den eigentlichen völkerrechtlichen Unrechtsgehalt – wie z.B. den funktionalen Zusammenhang der Tat mit einem ausgedehnten oder systematischen Angriff gegen die Zivilbevölkerung, der für die Verbrechen gegen die Menschlichkeit konstitutiv ist – nicht spezifisch zu berücksichtigen. Darüber Freundesgabe Büllesbach 2002 340 Geiger hinaus enthält das VStGB Tatbestände für spezielle Straftaten nach dem IStGH-Statut, für die es im StGB kein geeignetes Pendant gibt, wie etwa die Zwangsrekrutierung von Kindersoldaten oder den Vorgesetztenbefehl, »kein Pardon zu geben«. Zweitens soll die Normierung in einem eigenen Regelungswerk Rechtsklarheit und Handhabbarkeit in der Praxis fördern. Im Hinblick auf die Komplementarität der Verfolgungszuständigkeit des Internationalen Strafgerichtshofs dient die eigenständige Regelung drittens dazu, zweifelsfrei sicherzustellen, dass Deutschland stets in der Lage ist, ein in die Zuständigkeit des IStGH fallendes Verbrechen selbst zu verfolgen. Schließlich – und dieses Ziel ist besonders wichtig – soll durch die Schaffung eines einschlägigen nationalen Regelungswerks das humanitäre Völkerrecht gefördert werden und zu seiner Verbreitung beitragen. Andere Staaten, die ebenfalls vor der Frage stehen, wie sie das Römische Statut umsetzen sollen, haben ein außerordentliches Interesse an der deutschen Lösung, die als sehr progressiv bewertet wird. Auf diese Weise kommt dem Entwurf auch eine Vorreiter- und Vorbildfunktion zu. 2.2 Wesentlicher Inhalt und konzeptioneller Ansatz Der Entwurf stellt die unter die Gerichtsbarkeit des IStGH fallenden und im IStGH-Statut in rund 70 Untertatbeständen umschriebenen Verbrechen gegen das Völkerrecht in einem eigenständigen materiellen Strafgesetz unter Strafe. Dabei sieht er in Abkehr von der bisherigen Auslegung des § 6 StGB durch den 4 5 BGH die Geltung des Weltrechtsprinzips ohne die Notwendigkeit eines inländischen Anknüpfungspunktes vor. Die Strafverfolgung durch die deutsche Justiz wird daher auch dann möglich, wenn weder Täter noch Opfer Deutsche sind und die Tat auch sonst keinen Inlandsbezug hat. Neben einem ersten Teil mit allgemeinen Bestimmungen enthält der Entwurf einen zweiten Teil mit besonderen Tatbeständen zu Völkermord, Verbrechen gegen die Menschlichkeit und Kriegsverbrechen. Das VStGB ist eingebettet in den Entwurf eines Einführungsgesetzes, das neben dem materiellen Völkerstrafrecht insbesondere eine prozessuale Begleitregelung zur Strukturierung des Einstellungsermessens im Hinblick auf das Weltrechtsprinzip enthält. Betrachtet man den Normtext im Detail, so fällt auf, dass im Allgemeinen und im Besonderen Teil ganz unterschiedliche konzeptionelle Ansätze verfolgt werden. Grundsätzlich findet der Allgemeine Teil des StGB Anwendung. Sonderregelungen sind nur vorgesehen, soweit sie wegen abweichender Bestimmungen im Statut erforderlich sind. Der Allgemeine Teil beschränkt sich daher auf lediglich fünf Paragrafen. Abgesehen von einer Bestimmung zum Anwendungsbereich des Gesetzes und zur Anwendung des allgemeinen Rechts, enthält der Entwurf Sonderregelungen nur für das Handeln auf Befehl, die Verantwortlichkeit militärischer Befehlshaber und anderer Vorgesetzter Freundesgabe Büllesbach 2002 Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 341 sowie die Frage der Verjährung6. Weder ist eine besondere Regelung der Strafmündigkeit vorgesehen noch etwa eine solche zu Fragen der Schuldfähigkeit, des Irrtums oder der Täterschaft und Teilnahme. Auch hinsichtlich des Vorsatzes und der Notwehr verzichtet der Entwurf auf eine spezielle Regelung. Dieses Konzept erschwert zwar die Rezipierbarkeit für andere Staaten, es vermeidet aber die Gefahr erheblicher Rechtsverwirrung im eigenen Strafrecht, zu der ein umfassender Allgemeiner Teil eines VStGB unweigerlich führen müsste, und erleichtert damit die Anwendbarkeit in der Praxis. Im Besonderen Teil enthält der Entwurf demgegenüber eigenständige Beschreibungen des strafbaren Verhaltens in spezifischen Tatbeständen. Diese orientieren sich inhaltlich an den Vorgaben des Statuts und sonstiger verbindlicher Instrumente des humanitären Völkerrechts, darüber hinaus an den von einer Vorbereitungskommission für den IStGH ausgehandelten 7 Verbrechenselementen , an der Spruchpraxis internationaler Strafgerichte sowie an der allgemeinen Staatenpraxis. Sie erfahren aber manche Korrektur durch die Notwendigkeit, den Entwurf so zu gestalten, dass er dem mit Verfassungsrang ausgestatteten Bestimmtheitsgebot genügt. Auch das Bemühen um eine übersichtliche Systematik bringt hier vielfach Abweichungen von den im Statut gewählten Formulierungen mit sich. So fasst der Entwurf etwa die Kriegsverbrechen im internationalen und im nichtinterna8 tionalen bewaffneten Konflikt zusammen . 2.3 Besonderheiten des Regelungsinhalts und der Gesetzgebungstechnik Der aus den unterschiedlichen Rechtsordnungen der Vertragsstaaten gespeiste Inhalt des Römischen Statuts, den es im VStGB umzusetzen galt, bringt es mit sich, dass schon wegen des Kompromisscharakters dieses internationalen Vertrages im Entwurf manch ungewöhnliches Problem gelöst werden musste. Dies soll an zwei Beispielen verdeutlicht werden: Die verschiedenen Regelungsgegenstände der in Art. 28 des IStGH-Statuts enthaltenen Vorschrift über die Verantwortlichkeit militärischer Befehlshaber und anderer Vorgesetzter sind im VStGB durch zwei separate Vorschriften an unterschiedlichen Stellen umgesetzt. § 4 VStGB sieht als Regelung des Allgemeinen Teils eine Garantenstellung des Vorgesetzten vor, der es unterlässt, seinen Untergebenen an der Begehung einer Tat nach VStGB zu hindern. Die Vorschrift ordnet die Bestrafung des Vorgesetzten im gleichen Umfang an wie diejenige des Untergebenen. Die Fälle der bloß fahrlässigen Nichthinderung von Straftaten, in denen der Vorgesetzte mangels Vorsatzes nicht gleich einem Täter des vorsätzlichen Delikts bestraft werden kann, werden durch die Vorschriften über die Verletzung der Aufsichtspflicht (§ 13) sowie über das Unterlassen der Meldung einer Straftat (§ 14) im Besonderen Teil des VStGB erfasst. Die Bestimmtheitsanforderungen des deutschen Rechts – als zweites Beispiel – verbieten es, etwa die im IStGH-Statut enthaltene Legaldefinition Freundesgabe Büllesbach 2002 342 Geiger des Verschwindenlassens (Artikel 7 Abs. 2 Buchstabe i), die eher auf eine bestimmte staatliche Politik als auf einen einzelnen Täter zugeschnitten ist, zu übernehmen. Das VStGB unterscheidet deshalb nunmehr zwei in Anlehnung an die Verbrechenselemente zum Römischen Statut9 – jeweils aufeinander bezogene – Handlungsalternativen, die eine persönliche Zurechnung des Tatunrechts erst ermöglichen und die Vorschrift damit auch für die Praxis anwendbar werden lassen, nämlich die Freiheitsberaubung und die Auskunfts10 verweigerung über den Verbleib . Ebenfalls dem Bestimmtheitsgrundsatz ist die Zuordnung konkreter Strafrahmen zu den einzelnen Tatbeständen zuzuschreiben (Jarasch/Kreß 2000, S. 111). Die Eigenart der Rechtsmaterie bringt es mit sich, dass das VStGB durch seinen Platz an der Schnittstelle zwischen Völkerrecht und Strafrecht auch in der Gesetzgebungstechnik Neuland betritt. So sind z.B. an verschiedenen Stellen – so etwa bei § 7 Abs. 1 Nr. 4 – 11 Verweise auf »die allgemeinen Regeln des Völkerrechts« enthalten . Mit Hilfe dieser Verweisungstechnik werden völkergewohnheitsrechtliche Regelungen12 in den Tatbestand einbezogen. Dies ist nicht nur im Hinblick darauf problematisch, dass die Feststellung des Inhalts des Völkergewohnheitsrechts für einen Richter mit großen Schwierigkeiten verbunden sein kann (Satzger NStZ 2002, 125). Art. 103 Abs. 2 GG verbietet es darüber hinaus, Straftatbestände oder Strafen durch Gewohnheitsrecht zu schaffen oder zu verschärfen. Erlaubt ist nach herrschender Lehre nur die Bildung eines strafbarkeitsausschließenden oder -einschränkenden Gewohnheitsrechts (Schmidt-Aßmann, Art. 103 Abs. 2 GG, Rn. 222). 13 Die Lösung dieses Spannungsfeldes wird noch geraume Zeit für Dis14 kussionsstoff sorgen . Die fehlende ausdrückliche Klarstellung der Grenzen des Art. 103 Abs. 2 GG wird dabei beklagt (Werle ZStW 109, 808). Einige versuchen, die Barriere des Art. 103 Abs. 2 GG im Wege einer praktischen Konkordanz mit Art. 25 GG zu beseitigen. Andere kommen offenbar unter Annahme eines stillen Verfassungswandels im Wege der teleologischen Reduktion zur Annahme der Völkerrechtskompatibilität des Gesetzlichkeitsprinzips. Bisweilen wird demgegenüber aber auch die Notwendigkeit einer Änderung des Art. 103 Abs. 2 GG angenommen. Der Streit kann im vorliegenden Rahmen keiner Lösung zugeführt werden. Immerhin aber ist darauf hinzuweisen, dass dem Verweis auf die allgemeinen Regeln des Völkerrechts im Fall des § 7 Abs. 1 Nr. 4 VStGB eine Doppelfunktion zukommt. Er ist zum einen konstitutiv für die Bejahung eines Völkerrechtsverbrechens (BT-Drs. 14/ 8524, S. 21), weil ohne Völkerrechtsverstoß eine tatbestandsmäßige Vertreibungshandlung nicht denkbar ist. Zum anderen dient der Verweis der Strafbarkeitsbeschränkung. Er sorgt nämlich dafür, dass aus der Menge der denkbaren Vertreibungshandlungen nur solche als tatbestandsmäßig definiert werden, die auch nach universell geltenden Standards strafwürdiges Unrecht darstellen. Im Übrigen lässt sich der Verweis durch eine ausformulierte Aufzählung nicht ersetzen, weil das Völkergewohnheitsrecht in seiner Entwicklung nicht abgeschlossen ist. Freundesgabe Büllesbach 2002 Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 343 2.4 Erstreckung der Strafbarkeit über das Römische Statut hinaus Bei einzelnen Regelungsgegenständen geht das gesicherte Völkergewohnheitsrecht bereits über das hinaus, was im Römischen Statut festgeschrieben wurde. Das Völkerstrafgesetzbuch beschränkt sich daher nicht auf die bloße Umsetzung des IStGH-Statuts, sondern es enthält teilweise z. B. Bestimmungen, die die Strafbarkeit bestimmter Verhaltensweisen über das Römische Statut hinaus (BT-Drs. 14/8524, S. 12) auch auf den nicht internationalen bewaffneten Konflikt ausdehnen, wenn hierfür eine völkergewohnheitsrechtliche Grundlage gegeben ist. Anders als im Römischen Statut ist demnach nicht nur im Krieg zwischen Staaten, sondern auch im Bürgerkrieg das folgende Verhalten strafbar: – Verwendung von B- und C-Waffen, § 12 Abs. 1 Nr. 2, – Verwendung von Gift oder vergifteten Waffen, § 12 Abs. 1 Nr. 1, – Verwendung von Dum-Dum-Geschossen, § 12 Abs. 1 Nr. 3, – Aushungern der Zivilbevölkerung, § 11 Abs. 1 Nr. 5 und – Angriffe mit unverhältnismäßigen zivilen Schäden, § 11 Abs. 1 Nr. 3. Ebenfalls über das Römische Statut hinaus werden im VStGB Gewebe- und Organentnahmen an einer nach dem humanitären Völkerrecht zu schützenden 15 Person, von engen Ausnahmen abgesehen, als Kriegsverbrechen bestraft . Das VStGB kann daher zu Recht für sich in Anspruch nehmen, auf dem Stand der Entwicklung des humanitären Völkerrechts und des Völkerstrafrechts zu sein16. 2.5 Sonstige Gesetze und Gesetzgebungsvorhaben im Zusammenhang mit dem Römischen Statut Das VStGB steht mit weiteren Gesetzen und Gesetzgebungsvorhaben in Zusammenhang, die alle mit der Umsetzung des Römischen Statuts zu tun haben. Bereits umgesetzt sind das IStGH-Statutgesetz (BGBl. 2000 II S. 1393) als Vertragsgesetz sowie das Gesetz zur Änderung von Artikel 16 Abs. 2 GG (BGBl. 2000 I S. 1633), mit dem die verfassungsrechtlichen Bedingungen erfüllt worden sind, damit Deutschland dem Internationalen Strafgerichtshof auch deutsche Staatsangehörige überstellen kann. Noch im Gesetzgebungsverfahren befinden sich neben dem VStGB der Entwurf eines Gesetzes zur Ausführung des Römischen Statuts (BT-Drs. 14 / 8527) und der Entwurf eines Gesetzes zur Änderung des Grundgesetzes (BT-Drs. 14 / 8994) sowie der Entwurf eines Gesetzes zur Änderung des Gerichtsverfassungsgesetzes (BT-Drs. 14 / 8978). Die beiden letztgenannten Entwürfe dienen der Einführung einer einheitlichen erstinstanzlichen Zuständigkeit der Oberlandesgerichte und des Generalbundesanwalts für sämtliche Straftatbestände des VStGB. Freundesgabe Büllesbach 2002 344 Geiger 2.6 Ausblick Zielsetzung der Bundesregierung war es von Anfang an, den Abschluss des Gesetzgebungsvorhabens Völkerstrafgesetzbuch noch in dieser Legislaturperiode zu erreichen. Erfreulicherweise hat das VStGB das parlamentarische Verfahren inzwischen erfolgreich durchlaufen. Wenn dieser Aufsatz erscheint, wird es bereits im Bundesgesetzblatt stehen. Nach dem In-Kraft-Treten des Römischen Statuts am 1. 7. 2002 rückt die tatsächliche Arbeitsaufnahme durch den Internationalen Strafgerichtshof in immer greifbarere Nähe. Deutschland wird durch das Völkerstrafgesetzbuch materiell gewappnet sein, um den Gerichtshof zu entlasten, und gleichzeitig einen wichtigen Beitrag zur weltweiten Konsolidierung des Völkerstrafrechts leisten. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Vgl. Satzger NStZ 2002, 125; auch Zimmermann, ZRP 2002, 97 nennt es ein »ambitioniertes und zugleich für die weitere Entwicklung des Völkerstrafrechts wegweisendes Projekt«. Werle JZ 2001, 885; ebenso Satzger, a.a.O., der ergänzend hinzufügt, dass das Statut in Absatz VI der Präambel von einer völkergewohnheitsrechtlichen Pflicht zur Verfolgung von Völkerstraftaten ausgeht; auf eine solche Verpflichtung aus Gewohnheitsrecht oder allgemeinen Rechtsprinzipien weisen auch Wirth/Harder ZRP 2000, 144 hin. Zu den Defiziten des allgemeinen Strafrechts und zum Handlungsbedarf für den deutschen Strafgesetzgeber vgl. nur Werle JZ 2000, 755 sowie Kreß 2000, S. 9 Vgl. BGHSt 45, 64, neuerdings offener BGHSt 46, 292; kritisch zum Erfordernis eines Inlandsbezugs statt vieler Eser 2000, S. 26 Zu den Implikationen einer solchen Einführung des Weltrechtsprinzips vgl. Kreß NStZ 2000, 617 Im Hinblick auf Art. 29 IStGH-Statut postuliert § 5 VStGB die Unverjährbarkeit der im VStGB geregelten Verbrechen, während für die Vergehen der §§ 13 und 14 VStGB die allgemeinen Verjährungsfristen greifen sollen. Zur Funktion der Verbrechenselemente als subsidiäre Rechtsquelle gegenüber dem Statut vgl. Ambos NJW 2001, 405 bzw. als den Gerichtshof nicht bindende Auslegungshilfe vgl. Lagodny ZStW 113, 800; außerdem Dörmann/Kreß HuV 1999, 200 Zum Kompromisscharakter der Beibehaltung der Unterscheidung der beiden Konfliktarten im Statut vgl. Ambos S+F 2000, 12 Vgl. PCNICC/200/1/Add.2, Article 7 (1) (i) Element 1 Vgl. § 7 Abs. 1 Nr. 7 VStGB-Entwurf und die dazu gehörige Begründung, BT-Drs. 14/8524, S. 21 So etwa auch in § 7 Abs. 1 Nr. 10 oder in § 8 Abs. 1 Nr. 6 Mithin Regelungen, die sich in ständiger Fortentwicklung befinden und für deren Geltung die Staatenpraxis ein Kriterium ist, vgl. Wilms ZRP 1999, 227; zu den Schwierigkeiten der Ermittlung von universellem Völkergewohnheitsrecht vgl. Charney 87 AJIL 529 Allgemein zur Funktion des Art. 25 GG als Scharnier zwischen Völkerrecht und deutschem Recht, vgl. Kunig 2001, 2. Abschn., Rn. 145 ff. Vgl. zum Folgenden Ebert 2001, S. 178 m.w.N. Die entsprechende Vorschrift (§ 8 Abs. 1 Nr. 8 Buchstabe b) beruht auf Art. 11 Abs. 2 Buchstabe c i.V.m. Abs. 1 des Zusatzprotokolls I zu den Genfer Abkommen. Triffterer 1995, S. 169 definiert das Völkerstrafrecht als »das Strafrecht der Völkergemeinschaft, das diese als Teil ihrer eigenständigen Rechtsordnung des Völkerrechts im Rahmen ihrer Rechtssetzungskompetenz zum Schutze ihrer Rechtsgüter gegen besonders schwerwiegende Verletzungen schaffen und einsetzen kann.« Literatur Monographien: Heydecker, Joe J./Leeb, Johannes (Heydecker u. Leeb 1958), Der Nürnberger Prozess, Köln, Berlin 1958 Freundesgabe Büllesbach 2002 Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches 345 Kreß, Claus (Kreß 2000), Vom Nutzen eines deutschen Völkerstrafgesetzbuchs, Baden-Baden 2000 Mann, Golo (Mann 1966), Geschichte des 19. und 20. Jahrhunderts, Berlin, Frankfurt am Main 1966 Aufsätze in Zeitschriften Ambos, Kai (NJW 2001), »Verbrechenselemente« sowie Verfahrens- und Beweisregeln des Internationalen Strafgerichtshofs, NJW 2001, 405 Ambos, Kai (S+F 2000), Zur Bestrafung von Verbrechen im internationalen, nicht-internationalen und internen Konflikt, S+F 2000, 12 Charney, Jonathan (87 AJIL), Universal International Law AJIL 87 (1993), 529 Dörmann, Knut/Kreß, Claus (HuV 1999), Verfahrens- und Beweisregeln sowie Verbrechenselemente zum Römischen Statut des Internationalen Strafgerichtshofs: Eine Zwischenbilanz nach den ersten zwei Sitzungen der Vorbereitungskommission für den Internationalen Strafgerichtshof, HuV 1999, 2000 Kastner, Klaus (JA 1995), Der Nürnberger Prozess, JA 1995, 802 Kreß, Claus (NStZ 2000), Völkerstrafrecht in Deutschland, NStZ 2000, 617 Lagodny, Otto (ZStW 113), Legitimation und Bedeutung des Ständigen Internationalen Strafgerichtshofes, ZStW 113 (2001), 800 Satzger, Helmut (NStZ 2002), Das neue Völkerstrafgesetzbuch – Eine kritische Würdigung –, NStZ 2002, 125 Werle, Gerhard (JZ 2000), Völkerstrafrecht und geltendes deutsches Strafrecht, JZ 2000, 755 Werle, Gerhard (JZ 2001), Konturen eines deutschen Völkerstrafrechts, JZ 2001, 885 Werle, Gerhard (ZStW 109), Menschenrechtsschutz durch Völkerstrafrecht, ZStW 109 (1997), 808 Wilms, Heinrich (ZRP 1999), Der Kosovo-Einsatz und das Völkerrecht, ZRP 1999, 227 Wirth, Steffen/Harder, Jan C. (ZRP 2000), Die Anpassung des deutschen Rechts an das Römische Statut des Internationalen Strafgerichtshofs aus Sicht deutscher Nichtregierungsorganisationen, ZRP 2000, 144 Zimmermann, Andreas (ZRP 2002), Auf dem Weg zu einem deutschen Völkerstrafgesetzbuch, ZRP 2002, 97 Aufsätze in Sammelbänden: Bassiouni, Cherif (Bassiouni 1995), Das »Vermächtnis von Nürnberg«: eine historische Bewertung fünfzig Jahre danach. In: Hankel, Gerd, Stuby, Gerhard (Hrsg.), Strafgerichte gegen Menschlichkeitsverbrechen, Hamburg 1995 Ebert, Udo (Ebert 2001), Völkerstrafrecht und Gesetzlichkeitsprinzip. In: Britz, Guido, Jung, Heike, Koriath, Heinz, Müller, Egon (Hrsg.), Grundfragen staatlichen Strafens, Festschrift für Heinz Müller-Dietz zum 70. Geburtstag, München 2001 Eser, Albin (Eser 2000), Das »Internationale Strafrecht« in der Rechtsprechung des Bundesgerichtshofs. In: Canaris, Claus-Wilhelm, Heldrich, Andreas, Freundesgabe Büllesbach 2002 346 Geiger Hopt, Klaus J., Roxin, Claus, Schmidt, Karsten, Wittmaier, Gunter (Hrsg.), 50 Jahre Bundesgerichtshof, Festgabe aus der Wissenschaft, München 2000 Jarasch, Frank /Kreß, Claus (Jarasch/Kreß 2000), The Rome Statute and the German Legal Order. In: Kreß, Claus/Lattanzi, Flavia (Hrsg.), The Rome Statute and Domestic Legal Orders Volume I: General Aspects and Constitutional Issues, Baden-Baden 2000 Kunig, Philip (Kunig 2001), Völkerrecht und staatliches Recht. In: Graf Vitzthum, Wolfgang, Völkerrecht, 2. Aufl. , Berlin, New York 2001 Schmidt-Aßmann, Eberhard, in: Maunz, Theodor, Dürig, Günther u.a. (Hrsg.), Kommentar zum GG, München 1992 Triffterer, Otto (Triffterer 1995), Bestandsaufnahme zum Völkerstrafrecht. In: Hankel, Gerd, Stuby, Gerhard (Hrsg.), Strafgerichte gegen Menschheitsverbrechen, Hamburg 1995 Freundesgabe Büllesbach 2002 347 Irini E. Vassilaki Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft 1. Problemstellung »In ihrer weitesten Bedeutung sind Gesetze die notwendigen Bezüge, wie sie sich aus der Natur der Sache ergeben« (Montesquieu, 1. Buch, 1. Kapitel). Dieser Aphorismus von Montesquieu pointiert, dass nicht nur die äußeren Bedingungen menschlicher Gesellschaften, wie etwa das Klima oder geographische Gegebenheiten, sondern auch soziale Strukturen, wie etwa Klassenverhältnisse oder wirtschaftliche Aktivitäten, in einem komplizierten Wechselspiel »die Natur der Sache« ausmachen und den »esprit général«, den »Zeitgeist« bilden, der die Gesetze einer Gesellschaft durchbringt. Demnach beruht die Natur der Sache auf natürlichen, wirtschaftlichen und kulturellen Gegebenheiten, an welche die Rechtsordnung anknüpfen kann und muss. (Über das Werk von Montesquieu und seine rechtsphilosophische Bedeutung vgl. nur Coing, S. 184, 190; Strömholm, S. 190 ff.; Zippelius, § 7 I.) Sie weist nämlich gewisse Strukturen auf, die gewertet und eingeordnet werden, so dass die Erkenntnis gewonnen wird, ob und gegebenenfalls wie die Rechtsordnung einzugreifen hat. Die Suche nach der Natur des Sache des 21. Jahrhunderts führt nunmehr unausweichlich zu den Anwendungen der Informationstechnik. Ihre Relevanz und Einfluss auf die Gesellschaft, die auch als Informationsgesellschaft bezeichnet wird, kann als Axiom in dieser Stelle dahingestellt bleiben. (Über den Einfluss der Informationstechnik auf die Gesellschaft vgl. nur Lange, Tauss/Kollbeck, Tinnefeld/Phillips/Heil, Weizenbaum). Es sind aber kaum Syllogismen verarbeitet worden, wie die Strafrechtswissenschaft auf diese neuen informationellen Strukturen agiert. Diese Aufgabe habe ich im folgenden Beitrag als Ziel gesetzt. Ich werde untersuchen, ob die Informationstechnik ein soziales, kriminologisch relevantes Ordnungsproblem für die Gesellschaft darstellt (unter 2). Die Ergebnisse werde ich bei den einschlägigen Responsen des Straf- und Strafprozessrechts anwenden (unter 3 und 4). Hinzu werde ich die Frage ansprechen, ob und wie die Rechtsinformatik der Strafrechtsfortbildung verhilft (unter 5) und die Ausführungen mit einem Ausblick abschließen (unter 6). 2. Der kriminologische Wertgesichtspunkt Dass die Information eine dritte »Grundgröße« neben Materie und Energie darstellt (Wiener zitiert nach Steinbuch, S. 581.), hat Norbert Wiener bei der Fundierung der Wissenschaft der Kybernetik schon in den fünfziger Jahren pointiert. Im Anschluss daran hat die Verarbeitung und Übermittlung der Freundesgabe Büllesbach 2002 348 Vassilaki Information von computergestützten Systemen in den achtziger Jahren dazu geleitet, die Information auch als Gefahrenpotential zu nominieren, im Sinne von unrichtiger, unbefugt gesteuerter, fehlender und rechtsgutgefährdender Information. (Dazu etwa Bertrand, S. 400 ff.; Bing, S. 12 ff.; Bull; Sieber, NJW 1989, S. 2570 f.; Zimmerli). Ob diese Betrachtung am Anfang des 21. Jahrhunderts Gültigkeit für das Strafrecht hat, bleibt offen. Voraussetzung für die Beantwortung der einschlägigen Frage ist die kriminologische Untersuchung des Missbrauchs von Multimedia und vom Internet, die – wie der Computer der achtziger Jahre – heute die Information übertragen. Als Erkenntnismittel wurden Strafakten als auch Täter- und Opferbefragung herangezogen. 2.1 Erscheinungsformen des Missbrauchs des Internets Aus der Verwertung der Erkenntnisquellen lässt sich ableiten, dass der Missbrauch des Internet zwei Hauptgruppen bildet: Erstens Aktivitäten, die Informationen mit rechtswidrigem Inhalt verbreiten und zweitens solche, die die Rechte dritter Personen an der Information verletzen. (Eine Übersicht über die Risiken der Computernetzwerke in: Dornsreif/Klein, S. 226 ff.). Eine Zuordnung nach Delikttypen innerhalb dieser Gruppen führt zu folgenden Ergebnissen: 2.1.1 Verbreitung von Informationen mit rechtswidrigem Inhalt Mittels des Internets lassen sich Informationen mit rechtswidrigem Inhalt unterschiedlicher Art ausbreiten. Am häufigsten findet man aber Informationen, deren Inhalt in engem Zusammenhang mit drei Deliktgruppen steht. 1. Delikte gegen die sexuelle Selbstbestimmung Hier ist die Verbreitung von pornographischen Bildern einzuordnen, indem die Täter ihre Opfer – meistens Kinder – via Daten-Highways aussuchen und ihre Angebote ohne Verfolgungsrisiko aus der Ferne machen (vgl. etwa Horb, S. 53). Auch die sexuelle Belästigung am Arbeitsplatz, die unter besonderen Umständen als Beleidigung betrachtet werden kann, ist unter diesem Delikttypus einzusortieren. Das Opfer ist mittels Manipulationen von Daten gezwungen, z.B. pornographische Bilder am Arbeitsplatz anzuschauen oder die Zusendung sexistischen und pornographischen Materials an seiner Mailbox auf sich zu nehmen. (vgl. dazu Möhn, CHIIP 1995 (Heft 1), S. 60 ff.). 2. Delikte gegen die öffentliche Ordnung Neben den sexuell gerichteten Kriminellen wird das Internet auch von extremistischen politischen Gruppen missbraucht: Das Datennetz wird einerseits von extremistischen Kreisen benutzt, um ihre Botschaften Freundesgabe Büllesbach 2002 Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft 349 unzensiert zu verbreiten (Pack, S. 52.), während andererseits Informationen, die terroristischer Aktivitäten unterstützen, wie z. B. Anleitungen zum Bombenbau oder zum Mischen von Nitroglyzerin, öffentlich im Rahmen der »rechtmäßigen« Nutzung des Systems angeboten werden. 3. Fälschung von Hypertexten Die Verbreitung von Texten und Bildern via Datennetzen bietet Kriminellen die Möglichkeit, die Inhalte von Internetseiten zu manipulieren. (P. Klimsa, S. 188 f.). Den Informationen, die dort enthalten sind, wird durch Bearbeitungsprogramme, etwa Viren, ein völlig neuer Inhalt gegeben oder sie werden zerstört. So sind etwa die Originalinhalte der Homepage der CIA und des US-Justizministeriums durch Hakenkreuze, nacktes Fleisch und Anti-Zensur-Parolen ersetzt (siehe Luckhardt, S. 235) oder Rechner durch Viren (z. B. durch den »I love you«-Virus), die durch E-Mail verbreitet worden sind, abgestürzt. 2.2. Verletzung von Rechten Dritter an der Information Bei der Aufarbeitung der zweiten Hauptgruppe des Missbrauchs des Internets fällt auf, dass die Rechtsgüter, die von den entsprechenden Handlungen verletzt werden, meistens nicht von dem StGB geschützt werden. Vielmehr handelt es sich um Rechtsgüter, die von Normen des Nebenstrafrechts geschützt werden. 1. Verletzung urheberrechtlicher Vorschriften Das Angebot von Raubkopien, etwa von Programmen oder Musik-CDs, wird heute durch das Netz gemacht und diese werden durch die Verwendung des Internet kopiert und übertragen. Hinzu wird den Piraten die Möglichkeit gegeben, für bestimmte Zeit Zugriff auf Mailboxen zu haben, die die allerneueste Software enthalten. Damit ist die Anonymität sowohl des Kunden als auch des Vertreibers gewährt, die gefährlichen Beweisobjekte in Form von Disketten entfallen und die strafrechtlichen Tatbestände des Urhebergesetzes sind erfüllt (vgl. Bär, S. 440). Diese Tatsache führt dazu, dass das Raubkopieren über das Internet zu einem »Kavaliersdelikt« gemacht wurde, so dass in fast jedem privaten Computer Raubkopien zu finden sind. 2. Verletzung datenschutzrechtlicher Vorschriften Trotz der hauptsächlichen Anonymität der Nutzung eines Datennetzes ist die Gefährdung des Rechts auf informationelle Selbstbestimmung möglich. E-Mail-Adressen, Verbindungsdaten z.B. Zeitpunkt und Dauer einer Verbindung, Entgeltdaten, die für Abrechungszwecke verarbeitet werden, Bestandsdaten wie Namen oder Anschriften von Netzbenutzern können als personenbezogene Daten in Erscheinung kommen, deren Sammlung Kommunikations- oder Nutzungsprofile herstellen lassen. Weiterhin verletzt das Abhören der übertragenen Informationen als Inhaltsdaten die Vertraulichkeit der Kommunikation und leitet zu der Freundesgabe Büllesbach 2002 350 Vassilaki Anwendung von datenschutzstrafrechtlichen Normen ( s. dazu Eckhardt, S. 197 ff.). 2.3 Zwischenergebnis: Ende des 20. Jahrhunderts: Information als Gefahrenpotential Aus den Vorangegangenem kann gefolgert werden, dass auch mit dem Einsatz von Multimedia und des Internets die Aussage aufrechterhalten bleibt, dass die Information ein Gefahrenpotential darstellt. Diese These ist aber nicht als eine rechtlich relevante Naturtatsache nach der Radbruchschen Lehre zu bewerten (Siehe Radbruch, S. 10 ff., wo er den Stoff, der das Recht zu formen hat, in drei Gruppen gliedert: in die Gruppe der rechtlich relevanten Naturtatsachen, die Gruppe der sozialen Vorformen der Rechtsverhältnisse und die Gruppe des bestehenden Rechts. Dass die Information per se, um den Aphorismus von Norbert Wiener zu Ende zu denken, in den meisten Fällen eine neutrale Größe ist, stellt eine rechtsunerhebliche Seinsgegebenheit dar. Nur unter Bezug auf einen bestimmten Gesichtspunkt, dass nämlich die Information mittels der Informationstechnik verarbeitet und übertragen wird, wird diese zum Gefahrenpotential pervertiert, das für das Recht Relevanz hat. Denn – um Stratenwerth zu zitieren – »erst die spezielle Blickrichtung hebt das Wesen der Sache aus der Masse vorfindbarer Fakten heraus.« (Stratenwerth, Die Natur der Sache, S. 27). 3. Der strafrechtliche Wertegesichtspunkt Mit der Feststellung, dass die Information ein Gefahrenpotential in Form der Internet-Kriminalität darstellt, ist aber noch nicht gesagt worden, wie das Strafrecht solche Sachverhalte bewertet und – wenn notwendig – ordnend eingreift. Die Ansätze dafür bietet die Rechtsprechung beim Judizieren von internetspezifischen Fällen. 3.1 Problemkreis: »Anwendbarkeit des deutschen Strafrechts« Der BGH hat sich in seinem Beschluss vom 12.12.2000 mit der Anwendbarkeit des deutschen Strafrechts bei der Bestrafung der Internetkriminalität auseinandergesetzt. Der Angeklagte, ein australischer Staatsbürger, hat von ihm verfasste Äußerungen, die den Tatbestand der Volksverhetzung nach § 130 StGB erfüllten, auf einem australischen Server in das Internet gestellt, die Internetnutzern in Deutschland zugänglich waren. Das Gericht entschied für die Anwendung des deutschen Strafrechts und dabei wie folgend argumentiert: »Wenn für die Anwendung deutschen Strafrechts die Auslegung des § 9 StGB erfolgen muss, Freundesgabe Büllesbach 2002 Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft 351 so ist das Merkmal ›zum Tatbestand gehörender Erfolg‹ nicht ausgehend von der Begriffsbildung der allgemeinen Tatbestandslehre zu ermitteln. Der Erfolgseintritt ist in enger Beziehung zum konkreten Straftatbestand zu sehen.« Demnach interpretierte der Senat den einschlägigen Tatbestand § 130 Abs. 1, 3 StGB, wobei das deutsche Strafrecht uneingeschränkt zur Anwendung gelangt. Denn nach Ansicht des Gerichts sei der nach § 9 StGB erforderliche Erfolg des konkret abstrakten Gefährdungsdelikts der Volksverhetzung in Deutschland eingetreten (s. dazu BGH, CR 2001, 262 ff. m. Anm. Vassilaki). Unklar und vom BGH nicht konkretisiert ist allerdings, welche die Kernaussage des Ausdrucks »zum Tatbestand gehörender Erfolg« sein kann, bzw. was die Konsequenz ist, wenn dieser Erfolg – was auch immer ihn ausmacht – eintritt. Auf diese Frage kann es nur eine Antwort geben: Wenn der tatbestandsmäßige Erfolg eintritt, wird das geschützte Rechtsgut beeinträchtigt, d.h. gemäß dem einschlägigen Tatbestand entweder verletzt oder gefährdet. Wenn nunmehr der Parameter »Eintritt des tatbestandsmäßigen Erfolges« eng mit dem Parameter »Rechtsgutbeeinträchtigung« verbunden ist, lassen sich aus einer Betrachtung des letzteren Ansätze zur Konkretisierung des ersten gewinnen. So erhält der Begriff »tatbestandsmäßiger Erfolg« i. S. von § 9 StGB Konturen. Das mittels eines Straftatbestandes geschützte Rechtsgut kann durch die Vornahme von Handlungen in zweifacher Hinsicht betroffen werden: Einerseits kann es unmittelbar beeinträchtigt werden, indem das Rechtsgut verletzt wird, wie z.B. durch die Verbreitung von Viren, die den ordnungsgemäßen Betrieb einer EDV-Anlage verhindern und so das Rechtsgut »Eigentum«. Andererseits kann das inkriminierte Verhalten mittelbar zu einer Beeinträchtigung führen, wovon immer dann auszugehen ist, wenn nicht sicher ist, ob es zu einer tatsächlichen Schädigung kommen wird, so z. B. das Verbreiten unvollständiger Informationen über Wertpapiere via Internet, was nach § 264 a StGB das Allgemeininteresse an der Funktionsfähigkeit des Kapitalmarktes negativ beeinträchtigt. Bei den Erfolgsdelikten wird somit die Rechtsgutbeeinträchtigung »festgestellt«, während bei den Gefährdungsdelikten eine solche »prognostiziert« wird. Für eine solche »Prognoseentscheidung« ist im Bereich der Gefährdungsdelikte der Schwerpunkt auf das inkriminierte Verhalten zu legen und zu fragen, ob dieses Verhalten geeignet ist, zu einer Beeinträchtigung des geschützten Rechtsgutes zu führen. Die Feststellung der Geeignetheit soll nach einer ex-ante-Bewertung des zur Prüfung anstehenden Verhaltens abstrahiert vom Einzelfall geschehen. Es muss nämlich gefragt werden, ob das konkrete Verhalten gemäß dem vom Täter vorgestellten Verlauf zur Beeinträchtigung des geschützten Rechtsgutes führt. Wenn diese Frage positiv beantwortet werden kann, liegt eine Gefährdung des Rechtsgutes vor und der zum Tatbestand gehörende, aber in diesem nicht beschriebene Erfolg ist eingetreten, so dass die Anwendung des deutschen Strafrechts gem. § 9 I StGB in Betracht kommt. Freundesgabe Büllesbach 2002 352 Vassilaki 3.2 Problemkreis: Garantenstellung Das AG Tiergarten hatte über einen Fall zu entscheiden, in dem die Angeklagte durch das Einfügen eines Links in ihrer Homepage den Zugriff auf die Zeitschrift »Radikal« ermöglichte, deren Verbreitung in Deutschland verboten ist. Im Heft 154 der Zeitschrift »Radikal« konnte man zwei Artikel lesen, die zu Sabotageakten gegen die Deutsche Bahn aufforderten und unter dem Gesichtspunkt des § 316 b Abs. 1, der die Störung öffentlicher Betriebe bestraft, und § 126 Abs. 1 Nr. 7 StGB, der die Störung des öffentlichen Friedens durch Androhung von Straftaten bestraft, von strafrechtlicher Bedeutung waren. Für das Gericht war die Tatsache von Bedeutung, dass zum Zeitpunkt des Installierens des Links, nämlich im April 1996, die entsprechende Ausgabe der Zeitschrift noch nicht existierte. Erst zu einem späteren Zeitpunkt, nämlich im Juni 1996, sind die rechtswidrigen Artikel eingespeist worden. Demzufolge verneinte das Amtsgericht die Absicht der Angeklagten, Beihilfe zur Anleitung zu Straftaten zu leisten und sprach sie frei. Es sind jedoch keine Ausführungen zu finden, die die Kardinalfrage betreffen, nämlich ob grundsätzlich jeder, der einen Link in seiner Homepage einbaut, verpflichtet ist, den Inhalt der von ihm verwiesenen Web-Seite vorher zu kontrollieren. Gleichwohl hat das Gericht die Möglichkeit einer Strafbarkeit unter dem Gesichtspunkt der Garantenpflicht aus lngerenz in Betracht gezogen (s. AG Tiergarten., CR 1998, 111 m. Anm. Vassilaki). Das Gericht hat erkannt, dass die Unterlassungsproblematik eine wichtige Rolle bei der Bestrafung des Missbrauches von Internet spielen wird. Dass es keine eindeutige Aussage dazu geliefert hat, ist teilweise auf den komplizierten dogmatischen Aufbau der Unterlassungsdelikte zurückzuführen. Gleichwohl ist eine Garantenstellung aus lngerenz abzulehnen, denn diese würde bedeuten, dass, wie die h. M. als Voraussetzung für die Ingerenz verlangt, das Herstellen des Links ein objektiv pflichtwidriges Verhalten darstellt. Diese Konsequenz wäre aber weder rechtlich noch rechtspolitisch haltbar. Vielmehr ist die Frage zu stellen, ob die Schaltung bzw. Aufrechterhaltung eines Links die Begründung einer Garantenpflicht zur Folge hat, weil damit der Linkprovider die Herrschaft über einen Gefahrenbereich übernimmt. Da die Antwort umfangreiche Ausführungen verlangt, wird an dieser Stelle nur ansatzweise diese Problematik erörtert werden. Für das Bestehen einer Garantenstellung des Linkanbieters wegen der Herrschaft über einen Gefahrenbereich könnte der Entstehungsgrund dieser Garantenpflicht sprechen. Wollen die Menschen via Internet kommunizieren, können sie dieses nur, wenn sie erwarten können, dass jeder, der die neuen Medien benutzt, seinen Einflussbereich im Netz in einer Weise gestaltet, dass von diesem keine unvorhersehbaren Gefahren für die Rechtsgüter Dritter oder der Allgemeinheit ausgehen. Demzufolge ist der Urheber einer Homepage ein Inhaltsanbieter, der den rechtlichen Einfluss, die Herrschafts- bzw. Verfügungsgewalt über die Homepage hat. Damit ist er verpflichtet, diese zu kontrollieren, so dass sie keine rechtswidrigen Informationen enthält oder auf keine rechtswidrigen Inhalte weiterverweist. Unter diesem Gesichtspunkt Freundesgabe Büllesbach 2002 Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft 353 kann eine Rechtspflicht zur Kontrolle begründet werden, deren Zumutbarkeit für den Garanten gesondert zu prüfen ist (Ausführlich dazu Vassilaki, CR 1999, 85 ff.). 3.3 Problemkreis: Schriftenbegriff (§ 11 Abs. 3 StGB) OLG Nürnberg hat sich in einem Beschluss v. 23.6.1998 mit der Problematik des Schriftenbegriffs beschäftigt. Der Senat hatte über die öffentliche Beschimpfung eines christlichen Bekenntnisses nach § 166 StGB zu entscheiden, weil eine Firma über ihre Internet-Homepage ein T-Shirt anbot, auf dem ein an das Kreuz genageltes Schwein abgebildet war. Nach der Begründung fallen die Datenträger der Homepage unter den Schriftenbegriff des §11 III StGB. Denn Daten, die über das Internet abgerufen werden können, werden durch Speichermedien wie Festplatten bereitgestellt, so dass eine Verkörperung vorliegt, die für den Schriftenbegriff des §11 III StGB notwendig ist. Unerheblich ist dabei, dass die Wahrnehmung solcher Daten nur durch den Einsatz von technischen Mitteln möglich ist. Damit steht fest, dass die auf Datenspeichern festgehaltenen Informationen eine Schrift gem. §11 III StGB darstellen. Das OLG Nürnberg hat allerdings die Frage offengelassen, ob solche Informationen unter dem Begriff der »Darstellung« des §11 III StGB subsumiert werden können. Obwohl das Zögern des Senats aufgrund der Unklarheiten, die die Technik oft verursacht, verständlich ist, bleibt das Gericht der Strafrechtswissenschaft eine Antwort schuldig. Diese kann jedoch aus der Argumentation anderer Gerichte abgeleitet werden. Denn die Auslegung des §11 III StGB lässt es zu, die gespeicherten Informationen als »Darstellungen«, die den Oberbegriff der Vorschrift bilden, zu betrachten (Ausführlich dazu Vassilaki, MMR 1999, 528 f.). 3.4 Zwischenergebnis: Materielles Strafrecht + Internet = »Law in action« Die kurze Darlegung dieser internetspezifischen Urteile weist deutlich darauf hin, dass im konkreten Zeitpunkt in diesem Bereich grundsätzlich Lösungen durch die Anwendung des allgemeinen Teils des Strafrechts gesucht werden. Die Auslegung der Vorschriften des Besonderen Teils erfolgt in der Regel ohne Schwierigkeiten. Bei der Internet-Kriminalität ist daher nicht die Verhaltensregelung bzw. -bestrafung, sondern die Verhaltenseinordnung problematisch. Das strafrechtlich relevante Verhalten wird nach den allgemeinen Voraussetzungen der strafbaren Handlung geprüft. Die Gegebenheiten der Informationsgesellschaft werden in die Grundprinzipien des Strafrechts gekleidet. Diese Feststellung ergibt sich von den Ansätzen der Rechtsprechung, die sich um die Formung von Grundsatzlinien bemüht, die eine Richtschnur für die Beantwortung von Fragen der Internet-Kriminalität bilden sollen. Dieses Vorgehen stellt freilich nichts anderes als die Reaktion des Rechts Freundesgabe Büllesbach 2002 354 Vassilaki gegenüber neuen Phänomenen in seiner Eigenschaft als »law in action« dar. Denn das Recht ist nicht bloß ein normatives Sinngefüge, sondern es hat auch eine faktische Seite. Diese Seite nimmt die neuen Strukturen der Informationsgesellschaft wahr und versucht den Anwendungsbereich des Rechts auch auf diese Neuheiten zu erweitern. In diesem Sinne verhilft der Missbrauch des Internet der strafrechtlichen Entwicklung. Neuer Regelungen durch den Gesetzgeber bedarf es nicht. Vielmehr ist die Strafrechtswissenschaft herausgefordert, die Dogmatik des Allgemeinen Teils auf die neuen Fragen anzuwenden. Auf diese Weise wird die Strafrechtswissenschaft das Strafrecht aus geschriebenem Recht (law in the books) zum lebenden Recht (law in action) des 21. Jahrhunderts überleiten.(Über das Recht als »law in action« vgl. Esser, S. 19 ff.; Rehbinder, § 1 2; Pound, S. 44 (1910), S. 12 ff.; Zippelius, ..., S. 16 f.; ders..., Rechtsphilosophie, § 4 III.). 4. Der strafprozessuale Wertgesichtspunkt Im Gegensatz zu der internetspezifischen Rechtsprechung, die sich mit Fragen des materiellen Strafrechts beschäftigt, karg sind die Ausführungen, die strafprozessuale Themen betreffen. Gleichwohl mannigfaltig und kompliziert sind die Probleme, die während der Strafverfolgung der Internet-Kriminalität hervorgerufen werden. Im Folgenden sollen nur die wichtigsten davon erläutert werden. 4.1 Problemkreis: Durchsuchung In einem Beschluss vom 3. 8. 1995 betrachtete der BGH die Durchsuchung und Durchsicht von Datenträgern als Maßnahmen, die den Anforderungen der §§ 102 ff. StPO gerecht werden (siehe dazu BGH, CR 1996, S. 36 ff. m. Anm. Bär). Damit ist zuzustimmen. Der Richter hat die Ausführungen einer älteren Entscheidung des Gerichts fortgeführt, die die Frage der Anwendung des § 110 StPO bejahend beantwortet hat (siehe dazu BGH, CR 1988, S. 142 f.). Damit macht es keinen Unterschied, wenn das für das Strafverfahren von Bedeutung gewonnenes Beweismaterial in elektronischen Informationsträgern gespeichert ist . Anders ist aber die Sachlage, wenn die Durchsuchung den Zugriff auf Daten bedeutet, die via Netzwerk aufgerufen werden sollen. In diesem Fall ist zu differenzieren: Wenn die Durchsuchungsanordnung den Zugriff auf Daten innerhalb eines lokalen Netzwerkes erfasst, z. B. die internen Online-Verbindungen eines Betriebs, entstehen aus der »Vergeistigung« der Durchsuchung keine Probleme. Dieses Vorgehen ist mit dem Fall zu vergleichen, in dem die Durchsuchung ein ganzes Haus betrifft und diese in jedem Zimmer durchgeführt wird. Anders ist aber die Konstellation zu betrachten, in der die Beweismittel durch Zugriff auf Daten gewonnen werden müssen, ohne dass vorher der Freundesgabe Büllesbach 2002 Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft 355 Standort des Servers, in dem die Informationen gespeichert sind, bekannt ist. Eine solche Durchsuchung von Kommunikationseinrichtungen verstößt gegen strafprozessuale Normen und Prinzipien. Sie überschreitet zunächst das Ausmaß der Durchsuchungsanordnung, die, wenn es sich um die Durchsuchung »anderer Räume« handelt, genau bezeichnet werden muss (über die Bezeichnung des Ausmaßes der Durchsuchungsanordnung vgl. etwa BVerfGE 20, 162 [227]; 42, 212 [21]; 44, 353 [371]; BVerfG, NStZ 1992, S. 91.). Die für die Rechtmäßigkeit der Maßnahme notwendige Angabe, dass die Durchsuchung sich in Datenbestände innerhalb Deutschlands erstreckt, würde dem Gebot der Verhältnismäßigkeit unterlaufen (Bär,1996, S. 229 f.). Hinzu kommt die Gefahr, die Grenzen zwischen Durchsuchung und Telekommunikationsüberwachung verwischen zu lassen, was die folgende Bemerkung erleuchtet: Da die durch die Durchsuchung Beweismittel »ex tunc« während diese mittels der Telekommunikationsüberwachung »ex nunc« gewonnen werden sollen, ermöglicht die Schnelligkeit der Datenfernverarbeitung und -übertragung solche Differenzierungen nur in wenigen Fällen. Denn es ist oft schwierig festzustellen, welche Daten gespeichert waren, bevor die Ausführung der Durchsuchung angefangen hat und welche Daten während der Durchführung dazu kommen (Über die Unterschiede zwischen Durchsuchung und Kommunikationsüberwachung vgl. detalliert: Council of Europe, PC-PC (93) 27). Nicht zuletzt sind die aus der Durchsuchung im Internet abgeleiteten Probleme des internationalen Strafrechts zu erörtern. Der Zugriff auf Datenbestände im Netz kann schnell den deutschen Hoheitsbereich verlassen und die Hoheitsgewalt fremder Staaten gefährden. Diese vom Europarat genannte »direct penetration« (Über die Problematik der »direct penetration« siehe Council of Europe, Recommendation No. R (89), 9 S. 66 ff.) unterläuft das Rechtshilfeabkommen und führt zur unverwertbaren Beschaffung von Beweismitteln. Demzufolge kann eine Durchsuchung angeordnet und ausgeführt werden nur wenn der Zielrechner, in dem die gesuchten Beweismittel gespeichert sind, bekannt ist. Für die entsprechende Suche sind §§ 100g, h StPO von Bedeutung, die durch das »Gesetz zur Änderung der StPO« v. 20.12. 2001 in die StPO eingefügt worden sind. Diese stehen nunmehr als Rechtsgrundlage für den Zugriff auf Verbindungsdaten zur Verfügung. Danach sind die TK-Anbieter verpflichtet, etwa die beteiligten Rufnummern einer Kommunikation den Untersuchungsbehörden mitzuteilen, die zu einem Zentralrechner führen können, der danach untersucht wird (Bizer, S. 237.). 4.2 Problemkreis: Beschlagnahme Die Unkörperlichkeit von Daten bringt besondere Probleme hervor, wenn sie beschlagnahmt werden sollen. Gleichwohl besteht Klarheit darüber, wenn sie in Datenträgern gespeichert sind. In diesem Fall werden die externen SpeicherFreundesgabe Büllesbach 2002 356 Vassilaki medien als »Gegenstände« nach § 94 StPO sichergestellt. Weil dagegen einzelne Daten nicht verkörperte Objekte darstellen, scheiden als Beschlagnahmeobjekte aus. Das gleiche gilt für Informationen, die via Netz am Bildschirm zu sehen sind, die freilich wegen ihrer Vergänglichkeit nicht unter § 94 StPO subsumiert werden können. Für unkörperliche Informationen kommt die gem. § 94 StPO Sicherstellung »in anderer Weise« in Betracht. Diese ist notwendig, wenn Gegenstände, wie etwa Grundstücke oder Räume, nicht in Verwahrung genommen werden können oder aus Zwecken genauerer Untersuchung, an Ort und Stelle, wenn auch nur vorübergehend, verbleiben müssen (vgl. dazu Kleinknecht/Meyer-Goßner, § 94 Rn. 16; KK-Laufhütte, § 94 Rn. 15; LK-Schäfer, § 94, Rn. 33). Dabei sei aber bemerkt, dass ein Herrschaftsverhältnis der Strafverfolgungsbehörde begründet werden soll. Es muss nämlich eine amtliche Handlung vorliegen, die in geeigneter Weise erkennbar zum Ausdruck bringt, dass die Sache der freien Verfügung des Inhabers entzogen und der amtlichen Obhut unterstellt wird. Demzufolge dürfen die in einem Zentralcomputer und für ein Strafverfahren von Bedeutung gespeicherten Daten nicht mehr vom Beschuldigten verwendet werden. Dieses wird in der Regel mittels Sperrung der entsprechenden Datenbestände erreichbar sein, was darüber hinaus die weitere Benutzung von Hard- und Software seitens des Beschuldigten ermöglicht. Danach kann ein Herunterladen der einschlägigen Daten von der Festplatte auf Datenträger und deren Inverwahrungnahme gem. § 94 Abs. 1 StPO für das weitere Strafverfahren erfolgen. Gleichwohl reicht das einfache Downloading der in Betracht kommenden Daten ohne Einwirkung auf die Anlage, in der die Informationen gespeichert sind, nicht. Denn in diesem Fall wird – entsprechend der vom BGH gestellten Anforderungen (siehe dazu BGHSt 3, S.400; 15, S.150; ähnlich auch RGSt 18, S.71 ff.) – keine staatliche Herrschaftsgewalt auf die original gespeicherten Informationen begründet (Anders aber Bär, 1996, S.745, der das bloße Kopieren beweisrelevanter Informationen und deren Inverwahrungnahme unter dem Begriff »Sicherstellung auf anderer Weise« subsumiert). Demzufolge ist die Beschlagnahme von für ein Strafverfahren beweisrelevanten Daten in den Fällen beschränkt, in denen zugleich die Datenträger mit beschlagnahmt werden. Gespeicherte Informationen werden dagegen gem. § 94 I StPO »in anderer Weise sichergestellt«, wenn es technisch möglich ist, sie innerhalb einer Computeranlage zu sperren. 4.3 Problemkreis: Kommunikationsüberwachung Dass die neuen Formen der Kommunikation innerhalb der Informationsgesellschaft auch Unklarheiten hinsichtlich ihrer Überwachung hervorruft, benötigt keine besondere Erläuterung. Demnach liegt es der Sache nahe, dass der Gesetzgeber Änderungen in die einschlägigen Normen durchgeführt hat. Mit dem BegleitG zum TKG ist das in §§ 100a und 100b StPO verankerte Wort »Fernmeldeverkehr« von dem Begriff »Telekommunikation« ersetzt worFreundesgabe Büllesbach 2002 Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft 357 den. Damit werden die Überwachungsvorschriften, wie die Gesetzesbegründung betont, den neuen Informationstechnologien und der Terminologie des TKG angepasst (siehe BT-Druck. 369/97, S. 45, 46). Den Begriff der Telekommunikation liefert nunmehr § 3 Nr. 16 TKG, der darunter den technischen Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art, Bildern oder Tönen mittels Telekommunikationsanlagen subsumiert. Dabei ist unerheblich, wie die TKG-Gesetzesbegründung hervorhebt, welche Art die Nachrichten sind (z. B. menschliche Sprache oder Rundfunkprogramme) (siehe BT-Druck. 13/3609, S. 37). Daraus folgt, dass die Zwangsmaßnahme der Überwachung eine Wende erfährt. Ab sofort kann sie in jeglicher Art von Nachrichten eingesetzt werden, unabhängig davon, ob es um einen Kommunikationsvorgang zwischen Menschen oder zwischen Menschen und Computern geht. Das Fernmeldegeheimnis wird damit zu einem Kommunikationsgeheimnis umgewandelt. Dieses aber enthält nicht unbedingt einen sozialen Bezugspunkt im Sinne eines zwischenmenschlichen Informationsaustausches. Nunmehr reicht für die Begründung eines überwachungsgeeigneten Vorganges der Zugang zu Informationsquellen, die mittels technischer Vorgänge Nachrichten übermitteln. Die Veränderung des Charakters des Fernmeldegeheimnisses wird mehr einleuchtend, wenn man den veränderten § 100b Abs. 3 S. 1 StPO liest. Demnach hat jeder geschäftsmäßige Erbringer von Telekommunikationsdiensten die Überwachung zu ermöglichen. Wen diese Norm betrifft, bestimmt § 3 Nr. 5 TKG. Diese Vorschrift erfasst nämlich alle, die das nachhaltige Angebot von Telekommunikation, einschließlich des Angebots von Übertragungswesen für Dritte mit oder ohne Gewinnerzielungsabsicht, bereitstellen. Die daraus abgeleiteten Konsequenzen liegen auf der Hand. Als Telekommunikationserbringer wird jeder nominiert, der mit einiger Nachhaltigkeit Router und Server im Internet betreibt (Bär, 1998, S. 436; Grundermann, S. 51), den Betreiber von Mailboxen eingeschlossen (Siehe den Beschluß von BGH, der sich mit der Überwachung von Mailboxen auseinandersetzte, BGH, CR 1996, S. 488 ff.; NStZ 1997, S. 247 f.; StV 1997, S. 396 f.; vgl. auch die Anmerkungen von Bär, CR 1996, S. 490 f.; Bizer, DuD 1996, S. 627; Kudlich, JuS 1988, S. 209 ff.; Palm/Roy, NJW 1997, S. 1904 f.). Die Überwachung erstreckt sich über die öffentlichen Fernmeldenetze hinaus und erfasst nunmehr auch die geschlossenen Benutzergruppen (Corporate Networks), was, wie in der Gesetzesbegründung ausdrücklich artikuliert ist , ein Ziel der Veränderung war. Die vorangegangenen Ausführungen rufen die Frage hervor, ob die Neufassung der Überwachungsvorschriften den Anforderungen des Verhältnismäßigkeitsgrundsatzes entspricht. Dabei sind nicht nur Bedenken wegen der Aushöhlung oder besser der Verabschiedung von der Garantie des Fernmeldegeheimnisses anzumelden. Vielmehr ist auch die Beeinträchtigung des Art. 14 Abs. 1 GG der Telekommunikationsanbieter vor Augen zu halten, die mittels der TKÜV v. 23.1.2002 erfahren haben, welche Maßnahmen sie ergreifen müssen, um staatliche Überwachungen zu ermöglichen (Pernice, DuD 2002, 207 ff). Freundesgabe Büllesbach 2002 358 Vassilaki 4.4 Strafprozessrecht + Multimedia = Juristisches Neuland Die ausgewählten Problemkreise haben darauf hingewiesen, dass – im Gegensatz zum materiellen Strafrecht – das Strafprozessrecht die aus der Entwicklung der Informationstechnik hergeleiteten rechtlichen Fragen nicht beantworten kann. Diese Feststellung ist auf die Tatsache zurückzuführen, dass die strafprozessualen Regelungen an der Sammlung vom Beweismaterial orientiert sind, die aus körperlichen Objekten zu gewinnen ist. Die Immaterialisierung der Information entspricht somit den Prämissen der strafverfahrensrechtlichen Normen nicht. Demzufolge ist eine Erneuerung des Strafverfahrens erforderlich, die die einschlägigen Rechtslücken abschließen soll. Dabei ist freilich Vorsicht gefragt. Denn das Strafverfahren muss als angewandtes Verfassungsrecht (Über das Strafverfahrensrecht als angewandtes Verfassungsrecht vgl. Roxin, 2) auch grundrechtsschutzorientiert sein. Wie aber aus den ersten Änderungen zu entnehmen ist, nach denen das Fernmeldegeheimnis zu einem Telekommunikationsgeheimnis unter Vorbehalt gewandelt wird, besteht die Gefahr, aus solchen gesetzgeberischen Operationen Eingriffsmaßnahmen zu entstehen, die die Grundrechte in Frage stellen. Dadurch würde der Weg vorbereitet, innerhalb der Informationsgesellschaft den »gläsernen Menschen« zu schaffen. 5. Die Position der Rechtsinformatik Dass auch die mathematische Methodik der Informationstechnik die gesamte Rechtswissenschaft beeinflussen wird, ist schon seit den 70er Jahren propagiert worden (Für die ältere Literatur vgl. nur Fiedler, Haft, Philipps, Simitis, Suhr). Unabhängig davon, ob man über »Juristische Informatik«, »Computers and the law«, »Rechtskybernetik«, »informatique juridique« oder »Rechtsinformatik« spricht, erfassen diese Begriffe »die Lehre von den Möglichkeiten, Voraussetzungen und Folgen der EDV im Recht« (Steinmüller, S. 30). Diese Definition enthält drei Hauptfelder, die das Verhältnis der Informationstechnik mit der Rechtswissenschaft bestimmen: Es handelt sich dabei um das Ansetzen der Informationstechnik für a) die Gewinnung von juristischen Informationen, b) die Optimierung der juristischen Ausbildung und last but not least c) die Automatisierung der Rechtsgewinnung. 5.1 Juristische Informationssysteme Als die einfachste Aufgabe der Rechtsinformatik erscheint die Gewinnung von juristischen Informationen mit Hilfe der Informationstechnik. Der Aufbau von juristischen Off- und Online Datenbanken – an dieser Stelle sei nur das System JURIS erwähnt – die Möglichkeit, über Internet Zugang zu verschiedenen juristischen Bibliotheken im ganzen Globus zu erlangen, die Gelegenheit, Freundesgabe Büllesbach 2002 Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft 359 durch das Netz elektronische juristische Presse zu studieren, bieten nur ein paar Beispiele dafür, welche Vorteile gegenüber den herkömmlichen Informations-Einrichtungen die Informationstechnik dem Juristen anbietet. 5.2 Juristische Lehrtechnologie Auch wenn die Verwendung der Informationstechnologie beim deutschen juristischen Studium nicht besonders verbreitet ist, haben einschlägige Projekte der Universitäten Berlin, Hannover, Heidelberg, Münster, München, Passau, Saarbrücken, Tübingen und Würzburg gezeigt, dass multimediales Lernen und Lehren in ein paar Jahren unentbehrliches Instrumentarium der juristischen Ausbildung sein wird. Es sind dabei dialogfähige Programme gefragt, die etwa mit Begriffsbäumen dem Lernenden helfen, Tatbestände besser zu verstehen. Die Selbständigkeit der Erarbeitung je nach dem individuellen Verständnis des Studenten, die unterschiedlichen Alternativen und das enorme Angebot an Literatur und Rechtsprechung in Verbindung mit der Möglichkeit der Bewertung der Antworten und der Hilfestellung der Lernsoftware bieten eine zusätzliche – wohlbemerkt – juristische Ausbildungsmöglichkeit (Über die Anwendungen von juristischen Lernprogrammen vgl. etwa Brehm, PC-Fallbeispiel Zwangsvollstreckung: Fiedler/Oppenhorts; Haft/Müller-Krumbhaar, S. 556 ff.; Philipps, S. 103 ff.; Ring, S. 64. Denn die Erfahrung mit den Lernprogrammen hat auf eine Tatsache hingewiesen: Sie können neben und nicht statt der klassischen juristischen Basis-Ausbildung angeboten werden.). 5.3 Juristische Rechtsfindung Die Herausforderung der Rechtsinformatik liegt darin, die Informationstechnik zu verwenden, um eine automatisierte Rechtsanwendung zu gewinnen. Gefragt wird dabei, die Formalisierung von Rechtsanwendungsmodellen der Methodenlehre, so dass die Subsumtion automatisch folgt. Es sind bis jetzt zwei Systeme, die ansatzweise eine solche Umsetzung erreicht haben. Das erste ist das Expertensystem Lex, das ein Forschungsprojekt der IBM Deutschland und der Universität Tübingen § 142 StGB verarbeitet hat. Es verwendet »Wenn-dann-Regeln« und beinhaltet Auslegungsalgorithmen, die auf Wortinterpretation basieren. (Über das Expertensystem-Lex siehe ausführlich, Sulz). Das an der Universität München erstellte Neuronale Netz erarbeitet dagegen ein System zum Schmerzensgeldanspruch nach § 847 BGB. Das Netz besteht aus kleinen Einheiten, die sog. Neuronen, die mit der geeigneten technischen Unterstützung die Eigenschaft besitzen, sich trainieren zu lassen. Das System enthält höchstrichterliche Rechtsprechung, die den Schmerzensgeldanspruch betrifft. Diese wird vom System als Muster verwendet und mit einem Vergleichsalgorithmus auf den gestellten Sachverhalt übertragen, so Freundesgabe Büllesbach 2002 360 Vassilaki dass eine automatisierte Entscheidung getroffen werden kann. Rechtsmethodisch wird nämlich die aristotelische Topik verwendet, indem der Topoikatalog und unterschiedliche Gesichtspunkte des Sachverhaltes von den Neuronen bewertet werden. (Ausführliche Beschreibung des Münchener Neuronalen Netzes siehe in: Ring, S. 123 ff.; dazu vgl. auch Philipps/Brass/Emmerich.). 5.4 Rechtsinformatik: Die Konvergenz der Informationstechnik und der Rechtstheorie Die synoptische Darstellung der Arbeitsfelder der Rechtsinformatik weisen darauf hin, dass diese eine Herausforderung für die gesamte Rechtswissenschaft darstellt. Insbesondere werden rechtstheoretische Ansätze gesucht und überarbeitet, die geeignet sind, einer formalisierten Sprache übersetzt zu werden. Ob dabei die Informationstechnik als Subsumtionshilfe oder als selbstständiges Entscheidungsautomat verwendet wird, ist eine Frage, die nicht nur von dem Willen der Juristen abhängig ist, sondern auch von der Fähigkeit der Informatiker die komplizierten Methoden der Rechtsfindung zu juristisch tauglich mathematischen Algorithmen umzuwandeln. 6. Ausblick Die vorangegangene Untersuchung hat dargelegt, dass Verhaltensformen der Informationsgesellschaft unterschiedliche Fragen in einem weiten Bereich der Strafrechtswissenschaft hervorrufen. Dass für die Antworten in einigen Fällen die klassische Strafrechtsdogmatik eingesetzt werden muss, während in anderen Fällen das Einschreiten des Gesetzgebers gefragt ist, ist die natürliche Reaktion des Rechts gegenüber neuen gesellschaftlichen Phänomenen. Denn – um die Ausführungen von Platon leicht zu verändern – mittels des Rechts werden die Elemente bekannt, die notwendig für das Zusammenleben in einer konkreten Gesellschaft sind. (Platon, 875a). Und es sieht so aus, als dass die Informationstechnik – in welcher Form auch immer – sich als ein wichtiger Teil der Gesellschaft des 21. Jahrhunderts entwickelt. Literatur Bär, W.: Polizeilicher Zugriff auf kriminelle Mailboxen, CR 1995, S. 489 – 495. Bär, W.: Durchsuchungen im EDV-Bereich, CR 1995, S. 227 – 236. Bär, W.: Rechtsprechung zum Strafrecht, BGH »Durchsuchung« einer Mailbox, CR 1996, S. 490 – 500. Bär, W.: EDV-Beweissicherung im Strafverfahresrecht: Änderungen durch das BegleitG zum TKG, CR 1998, S. 434 - 440; Bertrand, P.: Il était une fois ... le droits de l´informatique, Expertises 1987. Bing, J.: in: International Computer Law Adviser Bd. 1 (1987), S. 12 – 16. Freundesgabe Büllesbach 2002 Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft 361 Bizer, J.: Verpflichtung zur Herausgabe von TK-Verbindungsdaten an den Staatsanwalt, DuD 2002, 237. Bull, P.: Datenschutz oder die Angst vor dem Computer, München 1984. Coing, H. : Grundzüge der Rechtsphilosophie, 5. Auflage, Berlin 1993 Council of Europe, PC-PC (93) 27, Strasbourg1993. Dornsreif, M. / Klein, C.: Tatsächliche und rechtliche Risiken drahtloser Computernetzwerke, DuD 2002, S. 226 – 230. Eckhardt, J.: Neue Regelungen der TK-Überwachung, DuD 2002, S.197 – 201. Esser, J.: Grundsatz und Norm, 4. Auflage, Tübingen 1990. Fiedler, H.: Forschungaufgaben der Juristischen Informatik, in: A. Kaufmann (Hrsg.), Münchner Ringvorlesung EDV und Recht, München 1987, S. 229 – 235. Grundermann P.: Das neue TKG-Begleitgesetz, KuR 1998, S. 48 – 53. Haft F.: Elektronische Datenverarbeitung im Recht, München 1970. Horb P.: Spiegel Special 1995 (Heft 3), S. 53. Karlsruher Kommentar zur Strafprozessordnung, Pfeiffer G. (Hrsg.), 4. Auflage 1999. Kleinknecht T. / Meyer-Goßner L., Strafprozessordnung, 46. Auflage 2001. Klimsa W.: Multimedia, Anwendungen, Tools und Techniken, München 1995. Kudlich H.: Der heimliche Zugriff auf Daten in einer Mailbox: ein Fall der Überwachung des Fernmeldeverkehrs? JuS 1998, S. 209 – 215. Leipziger Kommentar, Großkommentar, Jähnke B./Laufhütte H./Odersky W. (Hrsg.), 11. Auflage 1992. Luckhardt T.: c´t 1997, (Heft 4), S. 235. Montesquieu C-L: Vom Geist der Gesetze,Stuttgart 1994. Pack D.: CHIP 1995 (Heft 10), S. 52. Palm T./Roy G.: Der BGH unf der Zugriff auf Mailboxen, NJW 1997, S. 1904 – 1908. Pernice I-M.: Die Telekommunikations-Überwachungsverordnung, DuD 2002, S. 207 – 211. Philipps L./Brass C./Emmerich H: A Neural Network to Identify Legal Procedents München 1990. Philipps L.: Testaufgaben in der Rechtswissenschaft, München 1978; Platon, Nomoi, Buch IX, 875a Athen 1988. Radbruch G.: Einführung in die Rechtswissenschaft, Stuttgart 1980. Rehbinder M.: Rechtssoziologie 3. Auflage, Berlin 1993. Ring S.: Computergestützte Rechtsfindungssysteme, Köln 1994. Roxin C.: Strafverfahrensrecht, 25. Auflage 1998. Sieber U.: Informationsrecht und Recht der Informationstechnik, NJW 1989, S. 2570 – 2581. Simitis U., Rechtliche Anwendungsmöglichkeiten Kybernetischer Systeme, Frankfurt 1966 Steinbuch, GRUR 1987, S. 581 Strömholm S.: Kurze Geschichte der abendländischen Rechtsphilosophie, Göttingen 1991. Suhr A., Der Computer als juristischer Gesprächspartner, München 1970. Freundesgabe Büllesbach 2002 362 Vassilaki Sulz J.: LEX1-Prototyp eines computergestützten juristischen Expertensystems auf natürlichsprachlicher Basis, in: Haft F./Lehmann H.: Das LEX-Projekt. Entwicklung eines Expertensystems, Tübingen 1989 S. 77 – 114. Tinnefeld M-T./Phillips L./Heil S.: Informationsgesellschaft und Rechtskultur in Europa Baden-Baden 1998. Vassilaki I.: Strafrechtliche Verantwortlichkeit durch Einrichten und Aufrechterhalten von elektronischen Verweisen (Hyperlinks). Die Anwendbarkeit der allgemeinen Strafrechtsdogmatik auf neuen Verhaltensformen; in: CR 1999, S. 85 – 93. Vassilaki I.: Der Einfluß der Informations- und Telekommunikationstechnik auf die Strafrechtsfortbildung im Jahre 1998 - Rechtsprechungsübersicht über kommunikationsrechtliche, computer- und internetspezifische Entscheidungen der Strafgerichte - in: Multimedia und Recht 1999, S. 525 – 533. Weizenbaum J.: Die Macht der Computer und die Ohnmacht der Vernunft, Frankfurt.A.M. 1994. Weizenbaum J.: Wer erfindet Computermythen? Freiburg 1994. Zimmerli W.: (Hrsg.), Herausforderungen der Gesellschaft durch den technischen Wandel, München 1989. Zippelius R.: Das Wesen des Rechts, Eine Einführung in die Rechtsphilosophie, 5. Auflage, München 1997. Zippelius R.: Rechtsphilosophie, 3. Auflage, München 1994. Freundesgabe Büllesbach 2002 363 7. BAUSTELLEN DES IT- UND TELEKOMMUNIKATIONSRECHTES Thomas Hoene Planung und Steuerung von IT-Großprojekten nach modernisiertem Schuldrecht 1. Projektstruktur als moderner Beschaffungsprozess für IT-Leistungen Unsere Welt ist seit der ersten industriellen Revolution im 19. Jahrhundert komplizierter und deshalb für menschliche Normengefüge zunehmend unbeherrschbarer geworden. Der Prozess der Verkomplizierung unserer Lebenssachverhalte beschleunigt sich mit fortschreitendem technischen Fortschritt exponentiell. Die moderne Informationsgesellschaft des späten 20. und des beginnenden 21. Jahrhunderts stellt historisch gewachsene Normensysteme vor Aufgaben, deren Bewältigung nicht selten ihre Leistungsfähigkeit überschreitet. Beispielhaft deutlich macht dies der wirtschaftliche Beschaffungsvorgang für Hard- und Softwarelösungen im Austauschverhältnis zwischen Anbieter und Benutzer. Erst seit Ende der 80iger Jahre des 20. Jahrhundert hat sich in der Praxis des Wirtschaftslebens als Verhaltensregel bei derartigen Beschaffungsprozessen entwickelt, den Beschaffungsvorgang in Projektform zu gestalten. Eine projektbezogene Vorgehensweise zeichnet sich durch folgende typischen und wesentlichen Kriterien aus: Der Beschaffungsvorgang gliedert sich in mehrere Projektphasen, die auch hinsichtlich ihrer vertragstypologischen Einordnung durch unterschiedliche Leistungsinhalte im Austauschverhältnis geprägt sind. So beginnen IT-Projekte häufig erst mit der Untersuchung der konkret zu lösenden Aufgabenstellung und dem Suchen, Planen und Konzeptionieren in Betracht kommender – mitunter alternativer – Lösungen. Das im eng verzahnten Dialog gestaltete Suchen, Planen und Konzeptionieren ist vertragstypologisch anders zu bewerten als das Realisieren einer am Ende der Phase 1 gemeinsam konzeptionierten Lösung. Anders als bei der Realisierung steht nicht das Erstellen eines Ergebnisses, sondern der Know-how-Austausch aus unterschiedlichen Ansätzen und mit unterschiedlichem Fachwissen im Vordergrund. Das Ergebnis ist offen. An die Realisierung in der Phase 2 schließt sich die Optimierung (z. B. in Form von Wartung und Pflege, Weiterentwicklung und Fehlerbehebung) und der Know-how-Transfer auf den Anwender, mitunter auch der Betrieb der Lösung im Auftrag an. Auch hier unterscheiden sich die Leistungsarten von denen der vorausgehenden Phasen wesentlich. Die gesuchten und im Projekt eventuell gefundenen Lösungen sind in der Regel aufgrund der Einzigartigkeit der Aufgabenstellung jedenfalls in Teilaspekten neu, dem leistenden Fachunternehmen im Detail bei Vertragsbeginn unbekannt, ebenso die Lösungswege. Dies hat Auswirkungen auf die Freundesgabe Büllesbach 2002 364 Hoene Kalkulierbarkeit der variablen Größen Zeit und Aufwand und stößt im Leistungsgefüge der Vertragsparteien auf besondere Risiken der Äquivalenz- und Leistungsstörung. Normmuster, die sog. »Alles-oder-Nichts-Lösungen« verordnen, gewähren selten sachgerecht erscheinende Konfliktlösungen. Das Projekt dauert über lange Zeiträume von vielen Jahren. Der Projektgegenstand wie auch die dem Projekt zugrundeliegende kaufmännische Äquivalenz von Leistung und Gegenleistung ändert sich während der Projektlaufzeit nicht unerheblich. Diese Dynamik wird in gesetzlichen Normtypen des Schuldrechts jedenfalls per 31.12. 2001 nicht abgebildet. Die Leistungsbeiträge der Austauschpartner im Projekt sind eng miteinander verzahnt, ebenso die Verantwortungsbereiche. In einzelnen Phasen des Projekts können Leistungsbeiträge des Auftraggebers im Vordergrund stehen und den Anbieter nur als Mitwirkenden qualifizieren, in anderen Projektphasen ist dies wiederum anders. In allen Phasen ist ein hoher Grad an Zusammenarbeit, Kommunikation und Dokumentation erforderlich. Diese Typologie lässt sich nach altem Schuldrecht mit reinen Austauschverhältnissen wie Kauf-, Dienst- oder Werkvertrag nicht hinreichend widerspiegeln. 2. Modernisierungsanspruch des neuen Schuldrechts Die Bundesregierung hat dem zur Umsetzung der drei Richtlinien des Europäischen Parlaments RL 1999/44/EG (Verbrauchsgüterkauf), RL 2000/35/ EG (Bekämpfung von Zahlungsverzug) und RL 2000/31/EG (Elektronischer Geschäftsverkehr) bestimmten Gesetzentwurf nicht nur den Titel Schuldrechtsmodernisierungsgesetz gegeben, sondern ihn neben den Umsetzungsnotwendigkeiten auch mit der Notwendigkeit der Modernisierung des Schuldrechts zur Anpassung an sich gewandelte wirtschaftliche Sachverhalte begründet. Eine Analyse aus Sicht der Vertragspraxis und Praktikererfahrung im Umgang von Konfliktlösungen in IT-Projekten kommt – in einer frühen Phase nach Inkrafttreten des Schuldrechtsmodernisierungsgesetzes – anhand von drei ausgesuchten Aspekten der Reform zu folgenden Ergebnissen: Die Vereinheitlichung des Leistungsstörungsrechts im Gegensatz zu den stark voneinander abweichenden Regeln der Gewährleistung in den Vertragstypen des alten Rechts kommt im Sinne einer Modernisierung den beschriebenen Besonderheiten des IT-Projektes entgegen. Das werkvertragliche Gewährleistungsmodell der primären Nachbesserung oder Ersatzlieferung gegenüber der sekundären Wandlung, Minderung oder dem Schadensersatz trägt insbesondere dem Umstand Rechnung, dass IT-Leistungen, insbesondere Software-Produkte, auch unter Beachtung der Regeln der Technik und Anwendung der im Verkehr erforderlichen Sorgfalt erst in länger währenden Optimierungsprozessen nach Einführung im Echtbetrieb vollständig fehlerfrei gemacht werden können. Die Vertragspraxis unter Geltung des alten Schuldrechts entsprach bereits dem neuen Recht, in dem meist ein einheitliches dem Muster des Werkvertrag folgendes Gewährleistungsrecht geregelt wurde. Freundesgabe Büllesbach 2002 Planung und Steuerung von IT-Großprojekten nach modernisiertem Schuldrecht 365 Der Gesetzgeber hat es nicht geschafft, eine klare und sachgerechte vertragstypologische Einordnung von Herstellungsleistungen im IT-Bereich zu bewerkstelligen. Durch die Neuregelung des Werklieferungsrechts in § 651 BGB n.F. werden Herstellungsleistungen auf der Basis oder unter Verwendung bestehender Teillösungen dem sachgerechten Werkvertragsrecht entzogen, bei vollständigen Neuerstellungen bleibt unklar, ob Kauf- oder Werkvertragsrecht gilt; dies obwohl ausweislich der Begründung zu § 651 BGB n. F. Verträge über die Herstellung und Lieferung unkörperlicher Sachen dem Werkvertragsrecht überlassen bleiben sollen. Die keineswegs widerspruchsfreie und schlüssige Rechtsprechung wird in der Rechtspraxis, bis hin zur Rechtsprechungspraxis der Untergerichte, dazu führen, Computerprogramme, obwohl ihrem Wesen nach eher unkörperliche Leistungen, als Sachen zu behandeln und deshalb Kaufrecht zu unterwerfen. Wegen des AGB-rechtlichen Primats der vertragstypologisch gerechten Einordnung von Vertragsgegenständen bleibt es zweifelhaft, ob in vorformulierten Verträgen Wesenselemente des Werkvertrags wie die Notwendigkeit einer Abnahme zur Erfüllung der Hauptleistungspflicht rechtswirksam vorgesehen werden kann. In IT-Projekten kommt jedoch der Abnahme aus Sicht beider Vertragsparteien eine wesentliche den Projekterfolg fördernde Funktion zu. Sie stellt eine sachdienliche Zäsur zur Abgrenzung von Projektphasen dar und ermöglicht ein klar und einvernehmlich definiertes Aufsetzen neuer Phasen auf erzielte Ergebnisse. Das »Alles-oder-Nichts-Prinzip« des alten Wandlungs- und Rücktrittsrechts hat der Gesetzgeber im Zuge der Schuldrechtsmodernisierung nicht beseitigt, in § 323 Abs. (6) BGB n.F. nur um eine neue Variante erweitert. Der sog. Wandlungsschaden, der aufgrund der Kurzlebigkeit von IT-Produkten meist enorm ist, wird deshalb keiner sachgerechten Konfliktlösung zugeführt werden können, weil Schadensteilungsprinzipien des § 254 BGB den Rechtsfolgen von Schadensersatzansprüchen vorbehalten bleiben, zu denen dieser Schaden nicht zählt. Der Inhalt und Geltungsbereich des § 323 Abs. (6) BGB n. F., nach dem der Rücktritt des Gläubigers ausgeschlossen sein soll, wenn er für den den Rücktritt auslösenden Umstand verantwortlich ist, bleibt unklar. Vermutlich einen »handwerklichen Fehler« allerdings von großer Tragweite stellt die Neuregelung des § 444 (ebenso § 639) BGB n.F. dar. Wer Eigenschaften garantiert oder – so eindeutig nach der Gesetzesbegründung und -historie – zusichert, soll eine Haftung dafür mittels individueller Vereinbarung, also außerhalb der Anwendung der §§ 307 BGB n.F., weder ausschliessen noch beschränken können. Die Tragweite dieser Regelung wurde bei der Beratung des Gesetzes nicht gesehen. Sie führt dazu, dass in großen Industrieprojekten, in denen die Marktverhältnisse eine Verweigerung von Eigenschaftsgarantie nicht zulassen, deutsches Recht untauglich geworden ist. So lässt sich die Qualität von IT-Betriebsleistungen von herzustellenden ITLösungen nur über bestimmte Kenngrößen (»Service-Levels«) wie Systemverfügbarkeit, Performance und Störungsbehebungszeiten beschreiben. Die Grenze zur Eigenschaftszusicherung ist nah und wenig scharf, häufig je nach Verhandlungssituation nicht vermeidbar. Die Rechtsfolgen der NichteinFreundesgabe Büllesbach 2002 366 Hoene haltung von Eigenschaftszusicherungen zu begrenzen, ist nicht nur angemessen und ein Gebot der kaufmännischen Sorgfaltspflicht, sondern wurde bislang in der Regel von Verhandlungspartnern auch im Grundsatz akzeptiert. Der Gesetzeswortlaut erklärt dies in § 444 BGB und § 639 BGB nunmehr für ausnahmslos unwirksam. Der Versuch, diesen Gesetzgebungsfehler durch ebenso erfindungsreiche wie kreative Argumentationen des Inhalts zu umgehen, dass das Haftungsbeschränkungsverbot für Eigenschaftszusicherungen und Garantien nicht gelten soll, die die Haftungsbeschränkung gleich beinhalten, ist zwar ehrenwert, aber höchst riskant. Es leuchtet nicht zwangsläufig ein, weshalb der Ort, an dem im Vertrag die Haftungsbeschränkung für den Fall der Verletzung der Garantie oder Eigenschaftszusicherung formuliert ist, eine Rolle für die Wirksamkeit der Haftungsbeschränkung spielen soll. Die Eigenschaftszusicherung erschöpft sich im erklärten gesteigerten Einstehenwollen für das Vorliegen bestimmter Leistungsmerkmale, die Konsequenzen für den Fall, dass die zugesicherten Leistungsmerkmale nicht vorliegen, sind Gegenstand einer entweder ausschließlich der Eigenschaftszusicherung oder neben anderen Haftungsfällen auch der Eigenschaftszusicherung zugeordneten Haftungsregelung. Der Gesetzeswortlaut unterscheidet nicht danach, ob sich die Haftungsbeschränkung auch oder ausschließlich auf die Eigenschaftszusicherung beziehen soll. Es fällt auch keine andere Logik ein, woraus sich die Differenzierung ergeben soll. 3. Fazit Auch wenn es zu früh ist, über das Gelingen oder Misslingen der Schuldrechtsmodernisierung ein Urteil zu fällen, enthält die intendierte Modernisierung gegenüber dem alten Gesetzeszustand aus der Perspektive des ITGroßprojektes zum Teil gravierende Nachteile; zum Teile fehlt es an mittels anderer Wege, die man hätte beschreiten können, durchaus denkbaren Verbesserungen, und nur teilweise erscheint das Gesetz moderner, weil den neuen Sachverhalten seit Ende des 19. Jahrhunderts angepasster. Die Frage, ob eine Modernisierung gelungen ist, wird sich also weiterhin stellen. Schade, aber sicher wird die Geschwindigkeit des Gesetzesvorhabens nicht ohne Auswirkung auf das Ergebnis geblieben sein. »Nur nicht hudeln«, sagt der Schwabe. Freundesgabe Büllesbach 2002 367 Jochen Schneider Rechtliche Konzepte für den Softwarevertrieb Vorbemerkung Auf den ersten Blick haben Vertriebskonzepte für Software und das Hauptthema des zu Ehrenden, der Datenschutz, nicht viel gemein. Sie gehören beide zum IT-Recht. Wird der Datenschutz etwas weiter gesehen – wie dies auch stets das Anliegen von Alfred Büllesbach war –, mündet er im Informationsrecht bzw. gehört zu diesem, das erst in jüngerer Zeit Konturen erhält. Über dieses Informationsrecht gibt es eine direkte Querverbindung zum E-Commerce, augenfällig über die Informationspflichten der Anbieter, wie sie nunmehr in § 312 ff., insbes. § 312e BGB kodifiziert sind. Ein Bezugspunkt des Datenschutzes zum Softwarevertrieb liegt darin, dass der Trend der Vertriebskonzepte auch bei Software zur Kundenbindung und -transparenz geht, was mit zentralen Institutionen des Datenschutzes – informationelle Selbstbestimmung, Schutz vor Transparenz und v. a. Profilbildung, Zweckbindung – zu konfligieren. Eines der typischen Beispiele ist die Registrierung der Nutzer als Voraussetzung für die Aktivierung der Software (OLG München, CR 2001, 11). Durch die Schuldrechtsmodernisierung hat sich sowohl das Mangelrecht (u.a. durch Einbeziehung der Werbeaussagen) als auch das AGB-Recht zugunsten des Käufers/Kunden geändert. Manche Vertriebskonzepte basieren auf den Maßnahmen, die Nichterfüllung bzw. Mängel darstellen, sind intransparent und verletzen die Lieferantenpflichten sowie Datenschutzprinzipien. Das Thema des Softwarevertriebs ist nicht nur von nationaler, sondern auch von internationaler Bedeutung. Berührungspunkte mit der EU-Rechtspolitik bestehen etwa im Bereich der Harmonisierungsrichtlinie, dort bei den Schutzmechanismen (mit der deutschen Besonderheit, dass die §§ 95a bis c UrhG-E nicht auf Software anwendbar sein sollen), sowie bei der Gruppenfreistellungs-Verordnung für Technologie-Transfer. 1. Formen derzeitigen Softwarevertriebs Da das BGB gerade einer Modernisierung unterzogen wurde, liegt es nahe, dort nach der Form des Vertriebs zu suchen, die der Gesetzgeber als typisch angesehen hat. Die Schuldrechtsmodernisierung hat aber die Technologien, auf deren Beherrschung Fortschritt und Wohlstand der westlichen Welt basiert, mit keinem Wort gewürdigt, wenn man berücksichtigt, dass die Erwähnung der Software in § 312d Abs. 4 Nr. 2 BGB nur dem Umstand zu verdanken ist, dass eine entsprechende Regelung bereits für das Fernabsatzgesetz längst bestand (§ 3 Abs. 2 Nr. 2 Fernabsatzgesetz). Wesentlich umfangreicher sind die Pflichten im elektronischen Geschäftsverkehr in Freundesgabe Büllesbach 2002 368 Schneider § 312e BGB geregelt, die auch für den Softwarevertrieb über Electronic Commerce gelten. In § 312d Abs. 4 Nr. 2 BGB wird ausgerechnet eine Variante des Softwarevertriebs angedeutet, deren rechtliche Wirksamkeit problematisch ist. Vom Widerrufsrecht ausgenommen werden, wenn nichts anderes bestimmt ist, Software-Lieferungen, »sofern die gelieferten Datenträger vom Verbraucher entsiegelt worden sind«. Damit werden die sogenannten Shrink-Verträge in eine sehr schöne juristische Falle gestellt: Einerseits sind die üblichen sogenannten Shrink-Wrap-AGB, die erst nachträglich durch das Aufreißen der Schutzhülle erkennbar werden, nicht in den Vertrag einbezogen (ganz abgesehen davon, dass sie von einer dritten Partei, nicht dem Händler, sondern dem Hersteller stammen). Andererseits wird nun gerade die Vertriebsform, bei der der Benutzer erst erkennen kann, was sachlich und vertraglich (eingeschweißte AGB) Inhalt ist, wenn er die Schutzhülle aufgerissen, evtl. erst, wenn er den Rechner gestartet hat, vom Widerrufsrecht ausgenommen. Hinsichtlich wirksamer Einbeziehung und genügender Transparenz der AGB (abgesehen davon, dass plötzlich ein Vertrag mit einem Dritten bestehen oder entstehen soll) bestehen bei solchen Shrink-Wrap-Verträgen zumindest in Deutschland größte Bedenken (zu USA s. Kochinke/Günther, CR 1997, 129; zu UCITA s. Lejeune, CR 2000, 201; für Deutschland s. Lejeune, ITRB 2001, 263). Deren Berechtigung zeigt sich bei den folgenden beiden Beispielen: – »Sie müssen den Bestimmungen des beiliegenden Lizenzvertrags zustimmen, bevor Sie dieses Produkt benutzen können. Das Produkt wird als einzelnes Produkt lizenziert. Sie sind nicht berechtigt, dessen Komponenten für die Verwendung auf mehr als einem Computer zu trennen. Falls Sie den Bestimmungen des beiliegenden Lizenzvertrages nicht zustimmen, geben Sie bitte das unbenutzte Produkt unverzüglich gegen Rückerstattung des Kaufpreises zurück.« Es handelt sich um Bestimmungen des Herstellers (der nicht Verkäufer ist), die man erst sehen kann, wenn der Verkäufer/Händler die Software mit Hardware angeliefert hat. Die Hardware selbst enthält bei OEM-Lieferanten bereits die Serialisierung in der Weise, dass in die Software eingegeben ist, für wen die Software lizenziert ist. Dementsprechend erscheint der Bildschirm mit dem Namen des Lizenznehmers, alles erst nach Kauf und nach Lieferung erkennbar. Zusätzlich ist eine ID-Nummer angegeben. – Eingeschweißt bzw. mitgeliefert wird häufig, sinngemäß auch von anderen Herstellern, folgende Klausel: »Dieser Microsoft-Endbenutzer-Lizenzvertrag (›EULA‹) ist ein rechtsgültiger Vertrag zwischen Ihnen (entweder als natürliche oder juristische Person) und Microsoft-Cooperation für das oben bezeichnete Microsoft-Softwareprodukt, das Computersoftware sowie möglicherweise dazu gehörige Medien, gedruckte Materialien und Dokumentation im ›Online‹- oder elektronischen Format umfasst (›SOFTWAREPRODUKT‹). Das SOFTWAREPRODUKT umfasst auch sämtliche Updates und Ergänzungen zum ursprünglich Freundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 369 von Microsoft gelieferten SOFTWAREPRODUKT. Jede zusammen mit dem SOFTWAREPRODUKT gelieferte Software, zu der ein separater Endbenutzer-Lizenzvertrag gehört, wird gemäß den Bestimmungen dieses Lizenzvertrages lizenziert. Indem Sie das SOFTWAREPRODUKT installieren, kopieren, downloaden, anderweitig verwenden oder darauf zugreifen, erklären Sie sich damit einverstanden, durch die Bestimmungen dieses EULAs gebunden zu sein. Falls Sie den Bestimmungen dieses EULAs nicht zustimmen, sind Sie nicht berechtigt, das SOFTWAREPRODUKT zu installieren oder zu verwenden; Sie können es jedoch gegen volle Rückerstattung des Kaufpreises der Stelle zurückgeben, von der Sie es erhalten haben.« Da ein Vertrag konstruiert wird, der nicht besteht, sind auch die übrigen Regelungen der Klausel notleidend. Andererseits ist nicht zu verkennen, dass es weitere Software-Märkte gibt, auf denen solche Verfahren real, also mit Verschweißen, nicht angewandt wurden und werden. Virtuell aber taucht der Shrink-Wrap-Vertrag wieder auf im sogenannten Click-On-Vertrag bzw. analog genannt »Click-Wrap«-Vertrag (s. z. B. Lejeune, ITRB 2001, 263). Für den deutschen Benutzer völlig überraschend und unsinnig erscheint, wenn ihn ein Computer, den er vorinstallieren ließ, beim ersten Start auffordert, nun entweder die Lizenzbedingungen, die er vorher gar nicht gesehen hat, zu akzeptieren, oder diese abzulehnen. Im zweiten Falle soll dann die Nutzung abgebrochen werden. Ähnliche Aufforderungen gibt es auch schriftlich in manchen Verträgen. Weiter wird der Kunde dann aufgefordert, dem Lieferanten (also nicht dem Lizenzgeber der Software) die Software wieder zurückzugeben. Dies wäre ein hübscher Vertrag zu Lasten Dritter, wenn zwischen Kunde und dem Lizenzgeber ein Vertrag bestünde. Dies ist bei Ablehnung der AGB des Lizenzgebers, weshalb wiederum die Rückgabe erfolgen soll, nicht der Fall. Muss man Software an den Händler zurückgeben, wenn man mit solchen AGB nicht einverstanden ist, die gar nicht Vertragsbestandteil sind? Kann man den Rechner mit der aufgespielten Software gleich mit zurückgeben? Diese und ähnliche Besonderheiten im Vertrieb von PC-Software, auch und vor allem von Betriebssystemen, aber auch allgemeinen Anwendungen wie Textprogramm und ähnlichem, sollten nicht darüber hinweg täuschen, dass es auch einen großen Markt für Software gibt, bei dem die Software auf einem Datenträger zusammen mit einer Dokumentation dem Kunden geliefert wird, von dem Kunden selbst mit Unterstützung des Auftragnehmers installiert oder direkt vom Auftragnehmer beim Kunden installiert und eventuell sogar noch modifiziert wird. Im kommerziellen Bereich ist dies durchaus üblich. Zumindest muss in vielen Fällen die Software im IT-System des Kunden implementiert und konfiguriert werden. Für diese Fälle hatten manche Anbieter früher vorgesehen, dass der Kunde eine »Abnahme« (i. S. v. § 640 BGB) vornimmt. Damit haben sie sich keinen großen Gefallen getan, was die implizite Wahl des Vertragstyps betrifft, weil die entsprechende Institution dem Werkvertragsrecht entlehnt ist, während der Vertrag selbst dem Kaufrecht zuzurechnen wäre. Jedoch konnte man mit dem Ergebnis so lange Freundesgabe Büllesbach 2002 370 Schneider leben, als nicht ein Kunde auf die Idee verfiel, mit der Klausel Ernst zu machen. Dies würde dazu führen, dass evtl. die Gewährleistungsfrist noch nicht lief, der Pflegevertrag eigentlich noch gar nicht vergütungspflichtig sein konnte. Der Anwender wäre im Genuss der Position, wie sie einige OLG dem Anwender hinsichtlich der Ablieferung (erst nach Anlaufphase bzw. Überwindung der Anlaufschwierigkeiten und/oder nach erfolgreichem Probebetrieb), zugesprochen hatten. Diese Ausdehnung des Begriffs der Ablieferung hatte der BGH allerdings als nicht vertretbar qualifiziert (BGH v. 22.12.1999, CR 2000, 207). Die AGB des Anbieters sind insoweit für den Kunden günstig und deshalb wirksam. Neuerdings stellt sich das Problem noch krasser, weil die Herstellung von Software gemäß § 651 BGB nach Kaufvertrag zu beurteilen ist. Fraglich kann dies werden, wenn man den Erfolg, etwa die Problemlösung, im Vordergrund sieht. Dann soll nach wie vor Werkvertragsrecht gelten (Palandt/Sprau, 61. Aufl. Erg-Bd. Rz. 4 zu § 651 BGB). Auch die Bearbeitung vom Kunden gestellter Software wird als Werkvertrag – nach wie vor – zu beurteilen sein (BGH v. 9.10.2001, CR 2002, 93; Palandt/Sprau, 61. Aufl. Erg-Bd. Rz. 4 zu § 651 BGB). Allerdings stellen sich die Anbieter eher vor, dass es sich um einen Dienstvertrag handele. Die Herstellung von Standardsoftware dürfte wahrscheinlich über § 651 BGB Werkvertrag sein. Hier ist noch weitere Klärung erforderlich (s. a. Redeker, ITRB 2002, 119; Thewalt, CR 2002, 1). Festzuhalten ist allerdings, dass dadurch die Thematisierung, wann genau abgeliefert ist, um so mehr Bedeutung erlangt, insbesondere i. V. m. § 377 HGB, was viele Kunden übersehen (also ihre Pflicht, die Lieferung zum Anlass zu nehmen, die Software zu untersuchen und ggf. bekannt werdende Mängel unverzüglich zu rügen). Nicht so sehr hinsichtlich der Vertragsgestaltung selbst, als vielmehr nur hinsichtlich der Art der Ablieferung bahnt sich nun eine Verfahrensweise an, die nicht mehr auf einem Datenträger basiert. Der Kunde kann sich die Software selbst »downloaden«. Dazu braucht er eventuell noch nicht mal eine Kennung. Vielmehr erhält er diese später, wenn er den Download vollzogen hat. Allerdings ist dadurch ungewiss, wann genau diese Ablieferung erfolgt. Die Tatsache, dass hier die Software als unkörperlich übertragen wird, tut weder der Sachqualität noch der vertragstypologischen Einordnung als Kauf Abbruch (siehe schon BGH v. 18.10.1989, CR 1990, 24). Der Grund, warum diese Vertriebsart besonders aufmerksam behandelt werden sollte, ist, dass sie zum Vergleich dienen könnte, eine andere Vertriebsart auf ihre Rechtmäßigkeit hin genauer zu überprüfen, bei der genau umgekehrt verfahren wird: Der Kunde erhält datenträgerbasiert, eventuell fertig installiert auf einem ihm gelieferten Rechner zusammen mit einem Sicherungsexemplar die Software, kann aber nach einigen Malen des Startens die Software nicht mehr weiter produktiv nutzen (eventuell nur noch leasen), wenn er sie nicht frei geschaltet bekommt. Microsoft nennt dies »Aktivierung«. Beim Download erhält evtl. der Kunde die Software auf einem Wege, für den er eine Art Berechtigung benötigt, die ihn legitimiert, den Zugangsweg zu nutzen und der ihn die Software in seinem Verfügungsbereich erst übernehFreundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 371 men lässt. Damit wird erreicht, dass der Vertragspartner und nur dieser die Software erhalten kann, evtl. auch, dass nachgewiesen werden kann, dass der Kunde die Software auch tatsächlich erhalten hat, zumindest sie in seinen Verfügungsbereich nehmen konnte. Im anderen Falle hat der Kunde bereits die Software, voll funktionsfähig auf einem Datenträger, kann aber dann mit dieser nichts mehr anfangen, wenn er nicht eine zusätzliche Handlung leistet. Auf dieses Erfordernis wird, je nach Händler, oft nur unzureichend hingewiesen. Da sowohl der Vertragsschluss als auch der Gefahr- und der Eigentumsübergang bereits vollzogen sind, stellt die nachträgliche Notwendigkeit, die Software »zu aktivieren« ein merkwürdiges retardierendes Moment dar, dessen Qualität näher untersucht werden muss. Seine Besonderheit im Zusammenhang mit dem hier zu behandelnden Kontext ist, dass dabei die erhebliche Gefahr besteht, dass personenbeziehbare Daten anfallen und ein völlig unnötiger Kontakt mit jemand hergestellt werden muss, mit dem überhaupt kein Vertrag besteht, jedenfalls nicht so, wie sich dies der Hersteller womöglich vorstellt. 2. Zur Aufspaltung des Vertriebswegs: »OEM«, Update, Schulversionen u.ä. Unter OEM wird, vor allem im Hardwarebereich, »Original Equipment Manufacturer« verstanden. Ursprünglich wurde diese Bezeichnung vor allem für solche Hersteller verwendet, die etwa für mehrere Partner das gleiche Gerät in unterschiedlicher Aufmachung fertigten. Bei Software wird der OEMVertriebsweg so verstanden, dass die Hersteller von PC-Komponenten oder PC die Software, beispielsweise von Microsoft, nur gemäß Vertrag mit den eigenen Produkten gebündelt auf dem Markt anbieten dürfen. Eine typische OEM-Klausel für Software lautet etwa: »Die Software darf nur in Verbindung mit einem neuen Computer veräußert werden«. Die Updateklausel lautet etwa: »Dieses Programm prüft auf der Festplatte und/oder dem Diskettenlaufwerk /der CD, ob Sie zur Installation der Update-Version berechtigt sind. Die Software läßt sich nur installieren, wenn Sie ein lizenzierter Benutzer einer der folgenden Anwendungen sind: .................«. Die Fronten in der Rechtsprechung zu Aufspaltbarkeit und Erschöpfung verliefen bis zur BGH-OEM-Entscheidung wie folgt: a) Für die Möglichkeit der Aufspaltung des Vertriebsweges mit dinglicher Wirkung: KG Berlin und OLG Frankfurt. Vor allem in dem Verfahren Berlin, das schließlich zur BGH-Entschedung führte, wurde das Vertriebssystem »OEM« ausführlich dargestellt. b) Gegen die Wirksamkeit einer solchen Aufspaltung: OLG Frankfurt in der älteren Entscheidung und OLG München. Die folgende Aufstellung listet die Entscheidungen in zeitlicher Folge auf. Freundesgabe Büllesbach 2002 372 Schneider 2.1 KG Berlin Verfügungsverfahren (v. 27. 2. 1996, CR 1996, 531): »Es ist einem Händler untersagt, käuflich erworbene OEM-Software gegen den Willen des Herstellers auch ohne Hardware weiter zu verbreiten.« »Der Erschöpfungsgrundsatz .... schließt vertragliche Beschränkungen der Verbreitung mit dinglicher Wirkung nicht aus.« »Die Bindung des Softwareverkaufs an den gleichzeitigen Verkauf von Hardware verstößt weder gegen das GWG noch gegen Art. 85 EGV.« (LSe, Art. 85 EGV = alte Fassung) 2.2 Hauptsacheverfahren Berlin: 2.2.1 LG Berlin (v. 27. 8. 1996, CR 1996, 730) – Unzulässiger Verkauf von OEM-Software »1. Der Händler darf käuflich erworbene OEM-Software nicht losgelöst vom Verkauf eines neuen PCs anbieten und vertreiben, wenn dies dem Willen des Herstellers zuwiderläuft.« (LS 1) »2. Auch ist das Verbreitungsrecht des Herstellers nach § 69 c Nr. 2 Satz 2 UrhG an der OEM-Software nicht durch den Verkauf an den Händler insoweit verbraucht, als der Händler sich an die vertragliche Beschränkung durch den Hersteller nicht halten muss.« (LS 2) »3. Die Bindung des Softwareverkaufs an den gleichzeitigen Verkauf von Hardware verstößt weder gegen das GWB noch gegen Art. 85 EGV.« (LS 3, Art. 85 EGV = a.F.) Zum Vertriebssystem: »Der Vertrieb der OB-Produkte/Versionen erfolgt dergestalt, dass die Klägerin mit größeren Hardware-Herstellern (= OEM) unmittelbar Lizenzverträge abschließt, die diese zum direkten Bezug von OEMProdukten/Versionen von sogenannten Authorized replicators berechtigt. Kleinere Hardware-Hersteller können OEM-Produkte/Versionen von – von der Klägerin eingeschalteten – Zwischenhändlern, sogenannten Delivery-ServicePartnern (= DSP) beziehen, welche die OEM-Produkte/Versionen ihrerseits von den sogenannten Autorized replicators erwerben.« (LG Berlin v. 27.8.1996, CR 1996, 730, 731) 2.2.2 KG Berlin (v. 17.6.1997, CR 1998, 137): »Die Vertriebsbeschränkung stellt keine willkürliche Diskriminierung im Sinne des Art. 36 Satz 2 EWG-Vertrag dar.« (LS 2) Das Gericht machte sich seine Ausführungen im Urteil v. 27. 2. 1996 aus dem vorangegangenen Verfügungsverfahren, CR 1996, 531, ausdrücklich zu eigen (Ziff. 2.1). Die OEM-Version, die nicht als sogenannte Fachhandelsversion angeboten Freundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 373 werden soll, erhält als Produktbezeichnung im Aufdruck »Darf nur mit einem neuen PC vertrieben werden«. 2.3 OLG Frankfurt (v. 3.11.1998, CR 1999, 7), anders noch als in der späteren OEM-Entscheidung: »Ein Hersteller kann die Update-Version eines Computerprogramms nicht unter dem Vorbehalt veräußern, dass ein Verkauf nur an solche Nutzer zulässig ist, die bereits die ursprüngliche Vollversion des Programms erworben haben. Vielmehr kann sich eine urheberrechtlich relevante Beschränkung nur auf Verbreitungsarten oder auf Absatz- oder Vertriebswege, nicht aber auf bestimmte Personenkreise und deren Besitz von Vollversionen beziehen.« (LS) 2.4 OLG München (v. 12.2.1998, CR 1998, 265) Es ging um Update-Vertrieb als Vollversion. Die Versionen wurden auch teilweise als »Upgrade« bezeichnet. Die Antragsgegnerin hat auf Bestellung Updates als Vollversionen »verkauft«. »In der Bundesrepublik Deutschland wird das Programm von A-GmbH vertrieben, der die Antragstellerin ein ausschließliches Vertriebsrecht eingeräumt hat. Von dieser werden Vervielfältigungsstücke des Programms auf Datenträgern – Compacts Discs, Disketten – mit begleitenden Handbüchern an Händler verkauft, die die Programme weiter veräußern.« »Im Fall der Veräußerung von Vervielfältigungsstücken eines Computerprogramms tritt eine umfassende Erschöpfung des Verbreitungsrechts ein, sofern nicht die Ausnahme des Vermietrechts vorliegt.« (LS) 2.5 OLG Frankfurt (v. 18. 5 .2000, CR 2000, 651) Wenige Wochen vor der BGH-OEM-Entscheidung wurde vom OLG Frankfurt bei etwas anderer Fallkonstellation (die Bündelung von Software und Hardware erfolgt im Ausland, das Vervielfältigungsstück kommt als Bundle auf den Markt in der EU): »Der isolierte Vertrieb, der mit den Hinweisen ›Bundle-Version‹ bzw. ›For Bundles Only – not to be sold separately‹ versehenen OEM-Version eines Softwareprogramms für Scanner ohne den gleichzeitigen Vertrieb eines neuen Scanners verletzt das Verbreitungsrecht des urheberrechtlichen Nutzungsberechtigten. § 69 c Nr. 3 Satz 2 UrhG steht nicht der dinglichen Beschränkung des Verbreitungsrechts in Bezug auf OEM-Software entgegen.« Freundesgabe Büllesbach 2002 374 Schneider 2.6 BGH (v. 6. 7. 2000, I ZR 244/97, CR 2000, 651 – OEM –) Im Rechtszug des Hauptsacheverfahrens Berlin, Ziff. 2.2, erging die Entscheidung des BGH mit Aufhebung des Urteils des KG: Mittels schuldrechtlicher, evtl. zwischen Hersteller und Händler wirkender Beschränkung der Ausübung des eingeräumten dinglichen Rechts zum Vertrieb kann der Urheber wegen Erschöpfung den Weitervertrieb auf dinglicher Ebene nicht begrenzen. Die Aktivierungsprozedur ist eine unmittelbare Antwort auf die Unwirksamkeit der Maschinenbindungsklausel im OEM-Geschäft. Statt rechtlicher Regeln erfolgt nun eine faktische, technische Sperre. Zu der neuen Technik der Aktivierung gibt es nur wenig Entscheidungen. Allgemein zu Programmsperren existiert eine Reihe von Entscheidungen, die nahe legen, dass es sich um einen Mangel handelt. 3. Programmsperren Das Problem im Verhältnis zum Endkunden ist vor allem, ob ein Sachmangel vorliegt, evtl. ein Rechtsmangel, Nichterfüllung und/oder Nichterfüllung, im Verhältnis zum Händler, ob eine wirksame Beschränkung im Vertrieb vorliegt. Es ist zu berücksichtigen, dass der Vertrag zwischen Lizenzgeber und Händler wirksame Beschränkungen zur Absicherung des Lizenzgebers enthalten kann, die für den Vertrag zwischen Händler und Kunde unwirksam sind und als faktische Sperren eine Vertragsverletzung darstellen können. Dabei ist zu bedenken, dass der Regress-Anspruch (§ 478 BGB) in der Lieferkette nur bei Verbrauchsgüterkauf im Verhältnis zum Endkunden und nur innerhalb der EU wirkt, also nicht im Verhältnis zum Lizenzgeber in USA. Sperren können ihre Legitimation nur bedingt aus der Harmonisierungsrichtlinie ableiten, nicht zuletzt, weil nach deutschem Recht die Regeln zu Schutzmechanismen nach § 95 a – c UrhGE nicht für Software gelten sollen. So gibt es in der Rechtsprechung Entscheidungen, die einen Sachmangel bejahen und andere, die diese Frage offen lassen. 3.1 Offen gelassen, ob Sachmangel: 3.1.1 BGH (v. 3.6.1981, NJW 1981, 2684 – Programmsperre I): »Das Vorhandensein einer vom Hersteller vorprogrammierten periodischen Sperre eines Computerprogramms (expiration date), welche dem Schutz vor unbefugter Nutzung dient, ergibt den Nutzungsberechtigten kein Recht zur außerordentlichen Kündigung des Nutzungsvertrages wegen Beeinträchtigung der Gebrauchsüberlassung.« (LS) Es erfolgt die Anwendung von Mietrecht über Pacht, von Pachtrecht über »Vertrag eigener Art« im Bereich der Know-how-Überlassung. Freundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 375 3.1.2 BGH (v. 25.3.1987, CR 1987, 358 = NJW 1987, 2004 – Programmsperre II): »Der Anbieter hat die Vertrauensbasis zum Kunden dadurch verletzt, dass er seine für den Kunden nachteiligen Bedingungen eines abzuschließenden Vertrages mit dem Druckmittel einer dem Kunden bis dahin verheimlichten, kurzfristig wirksam werdenden Programmsperre durchzusetzen versuchte. Ob allein der Einbau einer Programmsperre als solches bereits eine Vertragsverletzung wäre, blieb offen.« 3.1.3 BGH (v. 15. 9. 1999, CR 2000, 94 – Programmsperre III; gegen OLG Bremen), Zweiterwerber gegen Erstverkäufer bei Weiterveräußerung von Software mit Programmsperre: »Der Hersteller eines Computerprogramms, der in die von ihm entwickelte Software eine periodisch wirksam werdende Programmsperre (expiration date) einbaut, die ohne die Eingabe eines dem eigenen Vertragspartner jeweils mitgeteilten Codewortes den Zugriff auf das Programm hindert, kann von einem Zweiterwerber, der das Programm in Unkenntnis der Sperre gebraucht erwirbt, wegen vorsätzlicher sittenwidriger Schädigung (§ 826 BGB) auf Schadensersatz mangels Schädigungsvorsatzes nicht in Anspruch genommen werden.« (LS) Es bleibt also auch hier offen, ob die Software durch die Programmsperre mangelhaft ist bzw. ob es sich hier um eine Vertragsverletzung im Innenverhältnis handelt. 3.2 Programmsperre als Sachmangel: 3.2.1 LG Wiesbaden (v. 4. 4. 1989, CR 1990): »Der Einbau einer Programmsperre, um einen säumigen Kunden zur Zahlung zu zwingen, stellt den Einbau eines Mangels dar.« (LS 1) 3.2.2 LG Ulm (v. 1.12.1988, CR 1989, 825): »1. Ein Softwareproduzent, der seine Zugriffsmöglichkeit auf die Software seines Abnehmers dazu ausnutzt, dort eine Programmsperre zu installieren, um den Kunden damit unter Druck setzen zu können, erfüllt den Tatbestand der Datenveränderung (§ 303 a StGB). 2. Droht dadurch dem Kunden ein nicht unerheblicher Schaden, liegt Computersabotage (§§ 303 b Abs. 1 Nr. 1 StGB) vor.« Freundesgabe Büllesbach 2002 376 Schneider 3.2.3 OLG Celle (v. 3.3.1992, CR 1994, 217): »Ein ungenügendes Handbuch, dem Händler vorenthaltenes Passwort und Kryptoschutz berechtigen den Händler zur Wandlung.« 3.2.4 OLG Köln (v. 9.8.1995, CR 1996, 285; s.a. Wuermeling, CR 1994, 585): »Der Einbau eines expiration date in ein Softwareprogramm durch den Lieferanten, von dem der Benutzer nicht informiert war, rechtfertigt jedenfalls dann keine fristlose Kündigung, wenn der Benutzer durch sie nicht behindert wird und bei vertragsgerechter Nutzung auch nicht Gefahr läuft, behindert zu werden.« (LS) 3.2.5 AG Hanau (v. 26.6.1998, CI 1999, 23): »Wird bei einem Softwarepflegevertrag dem Anwender eine regelmäßige Aktualisierungspflicht auferlegt und diese mittels einer wiederkehrenden Dateisperre abgesichert, so ist der Pflegevertrag sittenwidrig und damit nichtig.« (LS) 3.2.6 OLG Köln (v. 29.10.1999, CR 2000, 354): »Eine in eine Standardsoftware eingebaute, dem Käufer verschwiegene Programmsperre stellt jedenfalls dann einen Mangel dar, wenn zu ihrer Beseitigung Systemdisketten erforderlich sind, die sich nur im Besitz der Verkäufer befinden.« (LS 2) 3.2.7 OLG Frankfurt (v. 14.12.1999, CR 2000, 146; so a. LG Frankfurt v. 17.12.1998, CR 1999, 147): »Aktiviert der Lizenzgeber eine Programmsperre, die die Nutzung der Software auf leistungsfähigerer Hardware unmöglich macht und erklärt, die Sperre nur aufzuheben, wenn der Lizenznehmer der Änderung des Systemverzeichnisses unter Anfall einer neuen Lizenzgebühr zustimmt, handelt es sich um eine Drohung.« 3.2.8 LG München I (v. 4.4.2000, CR 2000, 506 (s.a. OLG Köln v. 9.8.1995, CR 1996, 152, Ziff. 3.2.4)): Eine Programmsperre zu Registrierungszwecken ist »unzulässig«. Und weiter: »Sperrt ein Softwarehersteller nach 25-maligem Start die weitere ProgrammFreundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 377 nutzung, wenn der User nicht bestimmte persönliche Daten in Form der Registrierung offen legt und wurde der Benutzer weder auf der Verpackung noch im Lizenzvertrag auf diese Nutzungsbeschränkung hingewiesen, handelt der Softwarehersteller sittenwidrig.« Um diesen Anforderungen zu genügen, müsste der Anbieter auch die datenschutzrechtlichen Voraussetzungen schaffen, z. B. seine Unterrichtungspflichten nach § 4 Abs. 3 BDSG und die Pflicht zur Festlegung der Zwecke nach § 28 Abs. 1 Satz 2 BDSG erfüllen. 3.2.9 OLG München (v. 12.10.2000, CR 2001, 11, zu LG München I v. 4. 4. 2000, CR 2000, 506): Zumindest ohne ausdrücklichen Hinweis für den Kunden ist eine Programmsperre zu Registrierungszwecken wettbewerbswidrig. Als Zwischenergebnis lässt sich festhalten, dass Sperren nach altem Recht überwiegend als Mangel qualifiziert wurden. Den »Tausch«, Daten gegen Freigabe, hat das LG München (Ziff. 3.2.8) besonders klar gesehen und als rechtswidrig auch deshalb charakterisiert, weil Datenschutzbelange des Betroffenen tangiert sind. Insofern sah das Gericht die Registrierung als «Form einer besonders verwerflichen Nötigung durch Ausübung eines psychischen Zwangs« an. Allerdings ist im Vergleich mit Aktivierungsverfahren in Verbindung mit einer Sperre festzuhalten, dass die Registrierung der Aktivierungsdaten anonym erfolgen kann (aber wohl nicht erfolgt). 4. CPU-Klauseln Es gibt Klauseln, die Marly Systemklauseln nennt, wo der Hersteller dem Kunden es nur erlaubt, die Software auf einer bestimmten Anlage zu verwenden. Diese wird dann durch die Betriebssystemnummer, evtl. eine Gerätenummer, möglicherweise auch durch Raum (Site-Klauseln) näher beschrieben. Eine Notfallklausel gilt für den Fall, dass die erlaubte Maschine einmal nicht zur Verfügung steht. Die Maschinenbindung ist mit der bei Aktivierung vergleichbar, dient allerdings vor allem dazu, bei Übernutzung zusätzliche Vergütung zu erhalten: Will der Anwender die Software auf eine größere Maschine verbringen, soll er dafür zahlen (Upgrade). Die wohl herrschende Meinung ist, dass eine solche CPU-Klausel allenfalls bei einem Mietvertrag wirksam ist, wobei auch dann noch besondere Anforderungen gelten (OLG Frankfurt v. 14.12.1999, CR 2000, 146, Ziff. 4.2). 4.1 OLG Frankfurt v. (10. 3. 1994, CR 1994, 398): Das Gericht rügte vor allem, dass zwar offensichtlich unterschiedliche Freundesgabe Büllesbach 2002 378 Schneider Lizenzgebühren je nach CPU-Ausbaustufe als ausschlaggebender Faktor zu entrichten seien, was dem Gericht aber nicht hinreichend deutlich genug dargelegt erschien (I. Instanz: LG Frankfurt v. 17.12.1998, CR 1999, 147 – CPUKlausel und Programmsperre). 4.2 OLG Frankfurt/Main (v. 14. 12. 1999, CR 2000, 146): »Eine CPU-Klausel in AGB, nach der dem Verwender und Lizenzgeber eine erhöhte Lizenzgebühr trotz fehlender und nicht gewollter Ausschöpfung einer erhöhten Rechnerkapazität durch den Lizenznehmer zustehen soll, ist unwirksam.« Die Klausel wäre ansonsten nach Ansicht des OLG, anders als bei Kauf (Ziff. 4.1), wirksam gewesen, weil es sich um einen Mietvertrag handelte. Die Klausel scheiterte hier an mangelnder Transparenz, dazu noch unter Ziff. 8. 5. Dongle Die meisten Entscheidungen zu Dongles waren solche, die im Wettbewerbsverhältnis das Programm zur Aufhebung des Schutzes durch den Dongle zum Gegenstand hatten. Inwieweit der Dongle selbst vertragsgemäß ist, kann daraus nicht unmittelbar abgeleitet werden. Allerdings war das OLG Karlsruhe (Ziff. 5.4) der Ansicht, dass die Änderungen des Computerprogramms, die den Kopierschutz ausschalten, nicht unter den bestimmungsgemäßen Gebrauch fallen. Daraus kann man rückschließen, dass der Dongle wohl zum bestimmungsgemäßen Gebrauch gehöre, was allerdings nicht zwingend ist. Es ist unklar, ob der Dongle zur Software gehört oder nicht. Ist er Teil der Software, muss sich auch das Fehlerberichtigungsrecht des Anwenders darauf im Falle von Störungen erstrecken. Ist er nicht Teil der Software, evtl. nicht vertraglich vereinbart, ist seine Umgehung urheberrechtlich nicht relevant, solange nicht die vertraglichen Befugnisse des Anwenders überschritten werden. Die Gerichte sahen dies anders: 5.1 LG Mannheim (v. 20.1.1995, CR 1995, 542): »Die Beseitigung oder Umgehung einer Dongle-Abfrage ist durch §69 d UrhG gerechtfertigt, wenn das Programm infolge der Abfrage nicht störungsfrei läuft.« (LS 1). Anderer Meinung ist das OLG Karlsruhe, s. unten, Ziff. 5.4. 5.2 OLG München (v. 22. 6. 1995, CR 1996, 11): »Es verstößt gegen die guten Sitten im Wettbewerb, wenn ein Wettbewerber ein Programm (hier ein Dongle-Umgehungsprogramm) anbietet und/oder verFreundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 379 treibt, das auch dazu geeignet ist, eine unberechtigte Nutzung fremder Software zu ermöglichen.« (LS 2) Vorinstanz LG München I v. 1.12.1994, CR 1995, 669 mit dem Zusatz, dass die Wettbewerbswidrigkeit auch dann besteht, »wenn das Programm eine Vielzahl weiterer selbstständiger Teilprogramme enthält, bei deren Vertrieb kein Verstoß gegen § 1 UWG ersichtlich ist.« 5.3 BGH (v. 9. 11. 1995, CR 1996, 79; s.a. Raubenheimer, CR 1996, 69): »Zum überwiegenden Interesse an der Vollstreckung eines Urteils, das gegen einen Schuldner auf Unterlassung und Auskunftserteilung erkennt, der ein Computerprogramm zur Umgehung der Sicherung eines anderen Computerprogramms vertrieben hat.« 5.4 OLG Karlsruhe (v. 10.1.1996, CR 1996, 341 (anders als LG Mannheim, Ziff. 5.1)): »1. Nachträgliche Veränderungen eines Computerprogramms, die bewirken, dass ein anderer, wesentlicher Teil des Programms ausgeschaltet wird, fallen nicht unter den bestimmungsgemäßen Gebrauch (§69 d Abs.1 UrhG). 2. Die Entfernung der Dongle-Abfrage in einem Computerprogramm ist nach §§ 69 c Nr. 2, 97 Abs. 1 UrhG unzulässig.« (LS 1 + 2) 5.5 LG Düsseldorf (v. 20. 3. 1996, CR 1996, 737): »1. Die Beseitigung der Dongle-Abfrage stellt eine zustimmungspflichtige Bearbeitung im Sinne von § 69 c Satz 1 Nr. 2 UrhG dar. 2. Die Ausschaltung der Dongle-Abfrage ist nicht als bestimmungsgemäßer Gebrauch (§ 69 d Abs. 1 UrhG) zu qualifizieren, auch § 69 f. Abs. 1 UrhG legitimiert eine solche Handlung nicht.« (LS 1 + 2) 5.6 BGH (v. 24. 2. 2000, CR 2000, 656 – Programmfehlerbeseitigung): Nicht unmittelbar zu Dongle und dessen Problemen, wenn dieser stört bzw. mangelhaft ist, jedoch zu deren Lösung verwertbar, ist eine wenig beachtete BGH-Entscheidung zu den (urheberrechtlichen) Mindestrechten des Nutzers. Danach kann dem Nutzer nicht einmal in einer Individualvereinbarung das Recht auf Fehlerbeseitigung genommen werden. Allenfalls kommt in Betracht, dass der Anwender zunächst dem Anbieter Gelegenheit zur Abhilfe bietet. Freundesgabe Büllesbach 2002 380 Schneider 6. Neue Vertriebswege und Leitlinien in der EU Die Europäische Kommission hat »Leitlinien für vertikale Beschränkungen« mitgeteilt (ABl. v. 13.10.2000, C 291/1). Für Software relevant sind darin die Ziffern (40) und (41). (40) »Vereinbarungen über die Lieferung von Kopien einer Software auf einem materiellen Träger (›Hard Copy‹) zum Zwecke des Weiterverkaufs, mit denen der Wiederverkäufer keine Lizenz für irgendwelche Rechte an der Software selbst erwirbt, sondern lediglich das Recht, die Kopien weiter zu verkaufen, sind im Hinblick auf die Anwendung der Gruppenfreistellungsverordnung als Vereinbarungen über die Lieferung von Waren zum Weiterverkauf anzusehen. Bei dieser Form des Vertriebs besteht das Lizenzverhältnis nur zwischen dem Inhaber der Urheberrechte und dem Nutzer der Software, der gegebenenfalls mit Öffnen der Verpackung des Softwareprodukts gezwungen wird, eine Reihe von Bedingungen zu akzeptieren.« (41) »Käufer von Hardware, die mit urheberrechtlich geschützter Software geliefert wird, können vom Rechtsinhaber dazu verpflichtet werden, nicht gegen das Urheberrecht zu verstoßen, indem sie z. B. die Software kopieren und weiter verkaufen bzw. i.V.m. einer anderen Hardware verwenden. Derartige Beschränkungen sind, soweit sie unter Art. 81 Abs. 1 fallen, nach der Gruppenfreistellungsverordnung freigestellt.« Rz. (40) betrifft wohl die sogenannten Shrink-Wrap- bzw. Click-WrapVerträge, ohne dass darüber entschieden wäre, ob diese Verträge nach deutschem Recht richtig »einbezogen« sind. Die Rz. (40) zielt wohl v.a. auf den Vertrieb, den man bei Hardware analog »Kisten schieben« nennen würde. Tatsächlich trifft aber keine der beiden Rz. in reiner Form auf die bisherigen OEM- und Autorisierungsverfahren zu. Rz. (40) erfordert, dass eine Vereinbarung über die Lieferung von Kopien einer Software auf einem materiellen Träger (»hard copy«) zum Zwecke des Weiterverkaufs erworben wird und dabei der Wiederverkäufer keine Lizenz für irgendwelche Rechte an der Software selbst erwirbt. Dieses Erfordernis ist beim OEM z.B. nicht erfüllt, da er die Software auf dem Rechner aufspielen und insofern sein Vervielfältigungsrecht haben muss, gegebenenfalls auch für die Konfiguration, das Herstellen der Sicherungskopie, auch wenn diese keine echte Sicherungskopie sein sollte (weil sie wieder mit einer Sperre versehen ist). Die Alternative bietet die Rz. (41). Diese scheint auf OEM gemünzt zu sein, weil sie von »Käufer von Hardware, die mit urheberrechtlich geschützter Software geliefert wird«, spricht. Die Regel besagt jedoch nur, dass diese Käufer verpflichtet werden können, nicht gegen das Urheberrecht zu verstoßen, indem sie z.B. die Software kopieren und weiter verkaufen bzw. in Verbindung mit einer anderen Hardware verwenden. Letzteres wird man wohl nicht so verstehen können, dass das Loslösen von dem Rechner verboten wäre, sondern die Software kopiert wird und sie anschließend auf einer anderen Hardware verwendet wird, also eine verbotene Vervielfältigung vorgenommen wird (a. M. zu Vorstehendem: Moritz, MMR 2001, 94). Freundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 381 Z.B. lautet ein Teilstück aus einem XP-Händlervertrag sinngemäß: Gegenstand im Rahmen der Begrenzungen dieses Lizenzabkommens sind folgende Rechte des Händlers begrenzt auf: – Vorinstallieren des Softwareprodukts auf einem Kundensystem – Verbreitung direkt oder indirekt und sublizenzierend gegenüber einem Endkunden entsprechend der EULA für jedes Produkt wie folgt: 1) das vorinstallierte Produkt 2) eine Kopie des Softwareprodukts auf einem externen Datenträger wie von Authorized Replicator erworben und 3) eine COA und eine APM. In anderem Zusammenhang wird dann darauf hingewiesen, dass beim Kunden eine Sperre nach 50-maligem Laden einsetzt (entsprechend dem Sachverhalt LG/OLG München Ziff. 3.2.8, 3.2.9): »Gemäß den Bedingungen dieses EULA wird der Gebrauch des Produkts auf 50-malige ›Launches‹ des Produkts beim Enduser begrenzt, wenn nicht der Enduser das Produkt mit ... in der Weise aktiviert, die im Produkt selbst während des Starts (Launch) beschrieben wird.« Der Händler wird dem Kunden mit in gleichen oder im wesentlichen ähnlichem Hinweis in klarer Weise versorgen, bevor dieser das Produkt erwirbt, z.B. in Anzeigen, Verpackung oder Material am Punkt des Kaufs. Die entsprechende Klausel, zu deren Vereinbarung man verpflichtet wird, lautet: »Bestimmte Softwareprodukte des Herstellers einschließlich dieses Computers können technologische Maßnahmen zum Kopierschutz enthalten. In einem solchen Fall werden Sie nicht in der Lage sein, das Produkt zu nutzen, wenn Sie nicht vollständig entsprechend dem Produktaktivierungsverfahren vorgehen. Das Produktaktivierungsverfahren und die Privaty Policy des Herstellers wird detailliert während des Startvorgangs des Produkts dargelegt oder auch bei bestimmten Vorgängen der erneuten Installation oder Rekonfiguration und sie wird vervollständigt auf dem Wege des Internets oder Telefon, wobei Gebühren anfallen können.« Relevant ist in diesem Zusammenhang wohl v.a. der Beitrag von Moritz, MMR 2001, 94. Unklar bleibt, auf welcher Rechtsbasis Händler, die auch aufspielen, vorkonfigurieren usw., dies tun, wenn sie, wie Moritz meint, keine Rechte außer dem Recht der Weitergabe haben. Völlig unklar ist, wie der Händler sich vom Anspruch auf Erfüllung des Kunden diesem gegenüber befreien kann, wenn er nicht selbst über die Aktivierungstechnologie und das -verfahren verfügt. Vor Freischaltung ist Erfüllung nicht denkbar. Auf die Unterscheidung Mangel/ Erfüllung kommt es angesichts des Nacherfüllungsanspruchs des Kunden nicht an. Da unklar ist, wann genau die Aktivierung – nach Änderungen an der Hardware – wieder erforderlich ist, dürfte ohnehin eine Aktivierungserfordernis nicht wirksam vereinbart sein. Ohne wirksame Vereinbarung ist das Aktivierungerfordernis mit sonst drohender Sperre eine vorsätzliche Pflichtverletzung, die schon parallel zum Mangelanspruch zum Schadensersatz gegenüber dem Kunden, etwa wegen Betriebsstillstand, verpflichtet (§ 280 BGB). Freundesgabe Büllesbach 2002 382 Schneider 7. Ablieferung von Software per Download Auch ein Vertrag über Software, die per Download »geliefert« wird, ist (bei Rechtseinräumung auf Dauer gegen Einmalentgelt) nach den Bestimmungen des Kaufvertragsrechts zu beurteilen (BGH v. 18.10.1989, CR 1990, 24). Dabei kommt es nicht auf eine Vermögensverschiebung, insbesondere auf eine Vermögenseinbuße des Verkäufers an, sondern vielmehr auf die Vermögensmehrung des Käufers (s. Busse, CR 1996, 389). In seiner Entscheidung vom 18.10.1989 stellte der BGH fest, dass unabhängig davon, ob ein Datenträger übergeben worden ist oder ob Software durch Überspielung auf die Festplatte des Käufers übertragen wird, der eigentliche Zweck des Kaufvertrages über Software der ist, die Software für den Käufer auf dessen Computer nutzbar zu machen. Der Datenträger wird deshalb als »Mittel zum Transport« bezeichnet. Anders als bei Sperre und Aktivierung dienen Keys und ähnliche Einrichtungen beim Download nur dazu, dass der konkrete Vertragspartner die Software sicher auf anderem Wege als dem der körperlichen Übergabe mit Datenträger erhält. Allerdings stellen sich eine Reihe von Fragen bzw. sind im Vertrag wichtige Maßgaben zu vereinbaren, damit Erfüllung nachweislich erfolgt ist und Vergütung erfolgreich verlangt werden kann. Die wesentlichen Aspekte sind orientiert an der konventionellen Art der Leistungserbringung (BGH v. 4.11.1987, NJW 1988, 406; BGH v. 22.12.1999, CR 2000, 207): – Übergabe, Zeitpunkt und Nachweis, – Gefahrübergang, Zeitpunkt, – Verfügbarkeit im Machtbereich des Kunden i.V.m. – Erfüllungsort (Rechner des Kunden, von dem aus der Download erfolgt; s. a. Holzbach/Süßenberger in: Moritz /Dreier (Hrsg.), Rechtshandbuch zum E-Commerce, Köln 2002, C, Rn. 352). Wenn anders als bei Übergabe eines Datenträgers der Download gleichzeitig zur Installation führt, ist auch die Ablieferung erst mit der Installation auf dem empfangenden Rechner abgeschlossen. Dies ist wichtig auch für – Untersuchungs- und Rügepflicht des Kunden, – Beginn der Verjährungsfrist für Mängel, – Fälligkeit der Vergütung bzw. kein Zurückbehaltungsrecht des Kunden mehr. Wichtig ist, dass wohl kein Versendungskauf vorliegt (s. a. Holzbach/Süßenberger, in: Moritz/Dreier (Hrsg.), Rechtshandbuch zum E-Commerce, Verlag Dr. Otto Schmidt, Köln 2002, C, Rn. 352). Unklar ist, ob eine Holschuld vereinbart werden kann, wobei wohl die Übermittlung des für den Download erforderlichen Keys nicht schon die eigentliche Erfüllungshandlung ist. Vorsorglich könnte der Anbieter vorsehen, auf Anforderung die Software auch auf Datenträger zu übermitteln. Dies kann sich insbesondere im Hinblick auf die Dokumentation empfehlen. Freundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 383 8. Transparenzgebot Für die IT-Branche bewirkt die Schuldrechtsmodernisierung eine Fülle von Neuerungen und Problemen der Vertragsgestaltung und -handhabung (Bartsch, CR 2001, 649; Goldmann/ Redecke, MMR 2002, 3; Koch, CR 2001, 569; Schneider, ITRB 2001, 242 (RegE); Thewalt, CR 2002, 1; von Westphalen, NJW 2002, 12; Ziegler/Rieder, ZIP 2001, 1789): Die Schuldrechtsmodernisierung bietet der IT-Branche mit der Kodifizierung des Transparenzgebots eine besondere rechtliche Herausforderung. Die Kodifizierung des Transparenzgebotes umfasst auch Leistungsbestimmungen und Vergütungsregeln. Beide knüpfen bei Software häufig an technische Gegebenheiten, die nur zum Teil in AGB und /oder Leistungsbestimmungen adäquat bzw. überhaupt geregelt sind. Das Transparenzgebot erfordert klare (und deshalb kurze) und deutliche (und deshalb einfache) Formulierungen. Dies erzeugt ein Spannungsverhältnis zum neuen Begriff des Sachmangels bei Kauf, der detaillierte Regelungen zur Beschaffenheit zur Absicherung des Lieferanten gebietet. 8.1 Eine Aktivierungsklausel lautet in aktuellen Anzeigen etwa wie folgt: »Produktaktivierung bei Wechsel von Systemkomponenten oder Neuinstallation erforderlich.« Evtl. steht dies noch im Kontext bzw. in der gleichen Zeitung, wo für das Produkt, hinsichtlich dessen die Produktaktivierung in der Annonce des Händlers angegeben ist, in der Annonce des Herstellers: »Alles wird leichter« (relevant im Hinblick auf § 434 Abs. 1 Satz 3 BGB). Da es sich insoweit um Angaben des Herstellers und des Händlers handelt, die zusammen gesehen werden müssen, dürfte die Aktivierungsklausel allein als nicht transparent erscheinen, weil sie die Tatbestände nicht genau beschreibt, sind aber die beiden Aussagen zusammen so zu verstehen, dass eine der beiden Aussagen falsch ist. Ist die Klausel unwirksam, ist die Aktivierung ein Mangel (nicht vereinbarte Beschränkung). Die Unwirksamkeit kann sich daraus ergeben, dass die beiden Aussagen nicht zusammenpassen, sich vielmehr widersprechen (§ 305c BGB 2002). Allerdings kann sich für den Kunden als günstig erweisen, dass alles leichter wird und insofern eine gewährleistungsrechtlich relevante Aussage zur Beschaffenheit vorliegt. Ansonsten kommt es zur weiteren Prüfung, ob die Klauseln auch transparent sind. Freundesgabe Büllesbach 2002 384 Schneider 8.2 § 307 BGB 2002 behandelt das Thema Transparenz mehrfach: 8.2.1 Transparenz von ABG (§ 307 Abs.1 Satz 2 BGB 2002) Im Regierungsentwurf zur Schuldrechtsmodernisierung war vorgesehen, dass in § 307 BGB die »Inhaltskontrolle« gegenüber § 9 AGBG um eine weitere Fallgruppe erweitert wird. Danach wäre eine unangemessene Benachteiligung im Zweifel anzunehmen gewesen, wenn eine Bestimmung »nicht klar und verständlich ist« (§ 307 Abs. 2 Nr. 3 BGB-RegE, Stand 9. 5. 2001). Durch Übernahme der Beschlüsse des sechsten Ausschusses erfolgte eine systematische und redaktionelle Änderung, die im Ergebnis die gleiche Wirkung haben kann. Zunächst erfolgt die entsprechende Regelung in Abs. 1 des § 307 BGB 2002: »Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist« (§ 307 Abs. 1 Satz 2 BGB 2002. Danach würde es zwei grundsätzliche, abstrakte Arten der unangemessenen Benachteiligung geben, nämlich die – »entgegen den Geboten von Treu und Glauben« (Abs. 1 Satz 1) und dass – eine Bestimmung nicht klar und verständlich ist. Gemäß der endgültigen Gesetzesfassung kann sich aus Intransparenz Unwirksamkeit ergeben, muss aber nicht. Vorzugsweise ist zu prüfen, ob im Rahmen der Unklarheitenregelung ein für den Kunden günstiges Ergebnis erzielt wird, das ihm nicht über Unwirksamkeit wegen Intransparenz genommen werden soll (sinng. Begründung des sechsten Ausschusses). 8.2.2 Weitere Ausprägung des Transparenzgebots Die zweite Ausprägung des Transparenzgebotes betrifft Leistungsbeschreibungen und Vergütungsregeln, die ebenfalls unwirksam sein können, wenn sie nicht klar und verständlich formuliert sind. Die Tragweite der Regelung gem. § 307 Abs. 1 Satz 2 und Abs. 3 Satz 2 BGB 2002 ist nicht klar abzuschätzen. Die Schuldrechtsmodernisierung ist vom Gedanken des Verbraucherschutzes geprägt, nicht zuletzt durch die Verbrauchsgüterkaufrichtlinie. Weiter wurde an vielen Stellen versucht, den Stand der bisherigen Rechtsprechung aufzugreifen und einzubauen, so etwa bei culpa in contratendo und positiver Vertragsverletzung. Es darf deshalb angenommen werden, dass zumindest keine geringeren Anforderungen an die Transparenz zu stellen sind, als nach den bisherigen Kriterien der Rechtsprechung. Ein Satz wie: Dies ist eine Lizenz, kein Kaufvertrag, wird sowohl als unklar als auch als undeutlich anzusehen sein. Er darf auf keinen Fall bei der vertragstypologischen Einordnung herangezogen werden, obwohl genau dies wohl intendiert wäre. Freundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 385 8.3 Leistungsbeschreibung und Transparenzgebot Grundsätzlich sind Leistungsbeschreibungen AGB-fest, bislang § 8 AGBG. Für sie gilt aber auch das Transparenzgebot. 8.3.1 Änderung im AGB-Recht Eine entsprechende Regelung fehlte im Schuldrechtsmodernisierungsentwurf vom 9.5.2001. Laut Synopse sollte § 8 AGBG funktionell durch § 307 Abs. 3 RegE ersetzt werden, und zwar ohne inhaltliche Änderungen. Der ursprüngliche Text sollte lauten: Abs. 1 und Abs. 2 mit Ausnahme der Regelung des Abs. 2 Nr. 3 – Transparenzgebot – i.V.m. Abs. 1 sowie die §§ 308 und 309 gelten nur für Bestimmungen in AGB, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelung vereinbart werden. Die endgültige Fassung lautet: »Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in AGB, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen können nach Abs. 1 Satz 2 i.V.m. Abs. 1 Satz 1 unwirksam sein.« Die Änderung gegenüber dem RegE mit der oben zitierten Ergänzung bei § 307 Abs. 3 Satz 2 BGB-Entwurf bewirkt, dass Leistungsbestimmungen und Vergütungsregelungen, die an sich nicht unter die Inhaltskontrolle fallen würden, dies insoweit tun, als sie nicht klar und verständlich sind, obwohl bzw. auch wenn sie nicht von Rechtsvorschriften abweichende oder diese ergänzende Regelungen enthalten. Im Zusammenhang mit Leistungsbeschreibungen und deren Einschränkungen sind im Onlinebereich v.a. die beiden Entscheidungen des OLG Köln und des BGH zum Online-Service einer Bank von besonderem Interesse. 8.3.2 OLG Köln (v. 14. 4. 2000, CR 2000, 537): Das OLG Köln hatte sich mit zwei Klauseln aus dem Online-Vertrag zu befassen. Die eine (Klausel Nr. 7) betraf die Sperrung aus wichtigem Grund, die nach diesen AGB jederzeit erfolgen konnte. Dazu waren einige Beispiele aufgeführt. Das OLG Köln befasste sich ausdrücklich auch mit dem Transparenzgebot, zitierte dies kurz gemäß Brandner in Ulmer/Brandner/Hensen, AGBGesetz, 8. Auflage, Rz. 87 und 89 zu § 9 AGBG, um dann gemäß dieser Fundstelle auszuführen: »Um den Anforderungen des solcher Art zu definierenden Transparenzgebots zu genügen, muss jede Rechte oder Pflichten des Vertragspartners regelnde Bestimmung so gestaltet und formuliert sein, dass jener über seine Rechte und Pflichten nicht in die Irre geführt werden kann.« Freundesgabe Büllesbach 2002 386 Schneider Vor diesem Hintergrund wurde die fragliche Klausel Nr. 7 als unwirksam erachtet. Hingegen wurde die weitere Klausel, Nr. 9, v. OLG Köln als AGB-rechtlich nicht zu beanstanden angesehen. Diese lautete: »Aus technischen und betrieblichen Gründen sind zeitweilige Beschränkungen und Unterbrechungen des Zugangs zum .... Bank-Online-Service möglich.« (OLG Köln v. 14. 4. 2000, CR 2000, 537). Die inhaltliche Nähe zu Software-Klauseln wie »Die Software kann mit einem Kopierschutz versehen sein«, »Nach Auswechseln von Komponenten kann erneute Aktivierung erforderlich sein«, »Produktaktivierung bei Wechsel von Systemkomponenten oder Neuinstallation erforderlich« o.ä., ist unverkennbar. Sie dürfte allein deshalb unwirksam sein, weil nicht darauf hingewiesen wird, was ansonsten die Folge wäre. 8.3.3 BGH (v. 12.12.2000, CR 2001, 181): Der BGH erachtete die klauselmäßige Zugangsbeschränkung der Klausel Nr. 9 als unwirksam und zwar wegen Verstoßes gegen § 11 Nr. 7 AGBG. Dabei spielte also v.a. eine Rolle, dass die fragliche Klausel auch den Fall groben Verschuldens umfasst. Der BGH bestätigte ausdrücklich die Auffassung des OLG Köln, dass die fragliche Klausel nicht lediglich der Beschreibung tatsächlicher Zustände dient, sondern den Umfang der vertraglichen Leistungspflicht einschränkt. Zur Abgrenzung gegenüber Regeln, die unter § 8 AGBG fallen, führt in diesem Zusammenhang der BGH weiter aus: »Gemäß § 8 AGBG gelten die §§9 bis 11 AGBG zwar nur für Klauseln, die von Rechtsvorschriften abweichen oder diese ergänzen, so dass bloße Abreden über den unmittelbaren Gegenstand der Hauptleistung der gesetzlichen Inhaltskontrolle ebenso wenig unterliegen wie Vereinbarungen über das vom anderen Teil zu erbringende Entgelt (ständige Rechtsprechung, .........). Derartige Leistungsbeschreibungen enthalten aber nur Klauseln, die Art, Umfang und Güte der geschuldeten Leistung festlegen. Hingegen unterliegen Klauseln, die das Hauptleistungsversprechen einschränken, ausgestalten oder modifizieren, der Inhaltskontrolle (............).« Die fraglichen Klauseln enthielten keine kontrollfreie Beschreibung der von der Beklagten im Online-Service geschuldeten Hauptleistung. »Vielmehr wird die versprochene Hauptleistung, der nach den Feststellungen des Berufungsgerichts rund um die Uhr eröffnete Zugang der Kunden zum Online-Service, zeitweise eingeschränkt« (BGH v. 12.12.2000, CR 2001, 182). 8.3.4 OLG Frankfurt (v. 14.12.1999, CR 2000, 146): Das OLG Frankfurt hatte in der älteren Entscheidung (s. oben Ziff. 4.2) im Zusammenhang mit einer CPU-Klausel den fraglichen Vertrag als Kaufvertrag qualifiziert und in der Folge die nicht mit Kaufrecht vereinbarenden RegelunFreundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 387 gen als unwirksam erklärt, wonach die dem Anwender aus Eigentum zustehende Freiheit beliebiger Nutzung durch eine Bindung der Programmnutzung an eine Zentraleinheit eingeschränkt wird (OLG Frankfurt v. 10.3.1994, CR 1994, 398 aus LS 1). In der Entscheidung vom 14.12.1999 hatte das OLG Frankfurt den Vertrag als Mietvertrag qualifiziert und grundsätzlich die CPU-Klausel, wonach bei Umstieg auf höhere Rechnerkapazität eine höhere Vergütung zu zahlen ist, als wirksam gestaltbar angesehen, nicht jedoch für den konkreten Fall. Diese Unwirksamkeit begründete sich damit, dass die Vergütung auch dann anfallen sollte, wenn der Kunde die erhöhte Rechnerkapazität nicht ausschöpfen kann oder nicht ausschöpfen will (in diesem Fall durch die Partitionen; OLG Frankfurt v. 14.12.1999, CR 2000, 146). Also stellt die Klausel eine unangemessene Benachteiligung dar, nach der dem Verwender und Lizenzgeber eine erhöhte Lizenzgebühr trotz fehlender und nicht gewollter Ausschöpfung einer erhöhten Rechnerkapazität durch den Lizenznehmer zustehen soll (OLG Frankfurt v. 14.12.1999, CR 2000, 146 (LS 3). 8.3.5 Upgradeklausel In vielen Softwareverträgen wird die Software nicht zwingend an ein bestimmtes System gekoppelt, dem Nutzer also nicht verboten, überhaupt die Software auf eine andere Maschine zu verbringen. Teilweise wird immerhin deutlich gemacht, dass es »nur« um eine Zusatzvergütung geht, wenn die Software auf einen anderen, aber größeren Rechner mit größerer Kapazität zu verbringen ist. Richtigerweise würde diese Vergütungsregelung als Upgrade bezeichnet. Hierbei handelt es sich, wenn die Klausel richtig ausformuliert ist, nicht um eine nutzungsintensitätsabhängige, weitere Vergütung, sondern um eine Art Vergünstigung gegenüber dem Neuerwerb der »passenden«, evtl. wesentlich teureren weiteren Software für die große Maschine. Insofern sollten CPU- gegenüber Upgradeklauseln genau abgegrenzt werden. Sie werden aber bei den AGB oft vermischt. Dann heißt es sinngemäß ähnlich wie auch in der Entscheidung des OLG Frankfurt: »Der Kunde ist ausschließlich berechtigt, die Software am im Softwareschein angegebenen Installationsort auf der im Softwareschein festgehaltenen Hardware (Systemverzeichnis) zu benutzen. Die zusätzliche Nutzung auf weiteren Rechner erfordert jeweils den Abschluss eines separaten Systemverzeichnisses. Das selbe gilt bei Verwendung anderer Rechner mit größerer Kapazität (sog. Upgrade). .........« (Etwas verändert zitiert aus OLG Frankfurt v. 14.12.1999, CR 2000, 146). Hierbei besteht ein Widerspruch auch zwischen der ausschließlichen Berechtigung, die Software am Installationsort und der angegebenen Hardware zu benutzen und der Variante, dass ein Rechner größerer Kapazität eingesetzt wird. Wenn damit zugleich die Nutzung auf dem alten Rechner aufgegeben wird, wäre auch nach dem dritten Satz kein Neuerwerb erforderlich. Freundesgabe Büllesbach 2002 388 Schneider 8.4 Weitere Beispiele Weitere Beispiele der AGB- und Transparenzkontrolle zeigen, dass die Vertriebskonzepte auf sehr unsicherer Grundlage stehen. Besondere Aufmerksamkeit verlangt die nun gesetzlich verankerte Transparenzregelung bei Klauseln, die wie Leistungsbeschreibungen oder Leistungsbestimmungen aussehen, die aber bei genauerem Hinsehen Leistungsbeschränkungen enthalten oder eine entsprechende Wirkung entfalten können. Im Hinblick auf das Transparenzgebot ist aber v.a. das Zusammenwirken dieser Klauseln, die für sich gesehen evtl. nicht problematisch erscheinen, im Rahmen des Gesamtvertrages bzw. mit den anderen Klauseln zu prüfen. Dies betrifft v. a. Verträge mit einer eigenen, für sie geschaffenen Terminologie. 8.4.1 »Lizenz« als Vertragstyp Die Klausel »Das Softwareprodukt wird lizenziert, nicht verkauft.« ist aus verschiedenen Gründen – vorsichtig ausgedrückt – problematisch. Hier soll nur der Aspekt der Transparenz beleuchtet werden. Die Hardware, auf der solche Software mit aufgespielt ist, wird verkauft. Die Software wird mitverkauft und mitgeliefert. Der Kunde liest nach Vertragsschluss und Lieferung, dass er zur Software (nur) eine »Lizenz« erhalten hat. In diesem Zusammenhang heißt es z. B. im Rahmen einer – ohnehin unwirksamen – Fiktion wie oben schon erwähnt: »Sie erklären sich damit einverstanden, durch die Bestimmungen dieses EULAs gebunden zu sein, indem Sie das Softwareprodukt installieren, kopieren, downloaden, darauf zugreifen oder es anderweitig verwenden. Falls Sie sich damit nicht einverstanden erklären, sind der Hersteller und .... (Lizenzgeber) nicht bereit, das Softwareprodukt an Sie zu lizenzieren.« 8.4.2 Fiktion Abgesehen davon, dass eine solche Klausel ohnehin keine Wirkung entfalten kann, wenn sie nicht wirksam einbezogen ist, woran erhebliche Zweifel bestehen, stellt sich folgendes praktische Problem: Die Einverständniserklärung erfolgt durch Installieren, Kopieren, Downloaden, Zugriff oder anderweitige Verwendung. Wie die Nicht-Einverständniserklärung erfolgen soll, bleibt unklar. Dies könnte im Umkehrschluss dadurch erfolgen, dass man das Softwareprodukt nicht installiert, nicht kopiert usw. Andererseits wird hier der Eindruck erweckt, dass erst durch die Handlungen, die dort beschrieben sind, die Lizenzierung, also der Akt der Rechtseinräumung erfolgen würde. Freundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 389 8.4.3 Miete? Dem entspricht dann unter der Überschrift »Softwareproduktlizenz« der zitierte Satz, das Softwareprodukt wird lizenziert, nicht verkauft. Was eine Lizenz ist, ist unklar. Klar ist aber, dass durch die Ablehnung gegenüber dem Begriff »Kauf« (Ziff. 8.4.1) offensichtlich etwas anderes gemeint sein muss. Es darf also nicht, so jedenfalls nach den AGB, das gleiche Ergebnis durch Auslegung des Begriffs »Lizenz« erzeugt werden, das mit Kauf bezeichnet würde. Dies läßt sich kaum anders interpretieren, als dass die Software nicht dauerhaft überlassen wird. Tatsächlich enthalten die AGB keine Angabe zur Dauerhaftigkeit der Rechtseinräumung. Das vom BGH entwickelte zweite Kriterium, das kumulativ mit der dauerhaften Rechtseinräumung verbunden sein muss, nämlich die Einmalvergütung, spielt in diesem Zusammenhang keine Rolle. Infolge dessen kann es sich bei dem Differenzierungsmerkmal nur um die Dauer der Rechtseinräumung handeln. Die fragliche Klausel lässt unklar, was mit »Lizenz« gemeint sein könnte. Infolge dessen sind auch die Regeln, die oben zitiert wurden, wonach das Einverständnis mit dem Lizenzvertrag durch bestimmte Handlungen erklärt wird, entsprechend unklar. Der größere nächste Abschnitt ist überschrieben »Lizenzgewährung«. Es besteht die Gefahr, dass aufgrund der oben erwähnten Eigenarten, dass nämlich mit Lizenz etwas anderes als Kauf gemeint sein muss, der gesamte unter Lizenzgewährung stehende Text deshalb unwirksam ist, weil er in keiner Weise klar und deutlich ist. 8.4.4 Programmsperre und Leistungsbeschreibung Es kann sich bei einer Programmsperre wie erwähnt außer um Nichterfüllung oder Mangel auch um positive Vertragsverletzung handeln – wobei die Entscheidung des BGH vom 25.3.1987, NJW 1987, 358 – Programmsperre II – nur mit Vorsicht heranzuziehen ist, weil dort die Programmsperre dazu diente, einen für den Kunden nachteiligen Vertrag zum Abschluss zu bringen. Um dem Verdikt zu entgehen, dass die mit einer nicht vereinbarten Programmsperre versehene Software Nichterfüllung bzw. positive Vertragsverletzung darstellt bzw. über Gewährleistungsrecht, v.a. in Zukunft (weil vorsätzlich eingebaut) schadensersatzpflichtig macht, könnte die Lösung ergriffen werden, auf die Programmsperren im Vertrag hinzuweisen. Nach den obenstehenden Ausführungen würde es sich dabei nicht um reine Leistungsbeschreibungen, sondern Beschränkungen handeln. Jedoch käme es darauf im Rahmen von § 307 Abs. 3 Satz 2 BGB 2002 nicht an, wenn die Klauseln ohnehin nicht klar und deutlich sind. Wenn eine AGB-Klausel das Vorhandensein von Sperren vertraglich absichern soll, dann muss diese Klausel (klar formuliert sein und) deutlich machen, – worin die Sperre und ihre Wirkung besteht, – wann bzw. unter welchen Voraussetzungen die Wirkung eintritt und – wie die Wirkung zumindest im Notfall zu beseitigen ist. Freundesgabe Büllesbach 2002 390 Schneider 8.4.5 Aktivierung Fehlen solche Regeln, hat der Kunde laut AGB nicht die Möglichkeit dauerhafter Herrschaft über die Software, womit Kaufrecht (auch nicht Werkvertragsrecht) nicht vereinbar wäre. Aber auch bei Mietvertrag bzw. einem nach Miete zu beurteilenden Vertrag müsste ein entsprechender Hinweis klar erfolgen. Folgende Klausel erscheint vor diesem Hintergrund z.B. höchst problematisch, um nicht gleich zu sagen, unwirksam zumindest wegen fehlender Klarheit: »Bestimmte Softwareprodukte des Herstellers können technische Maßnahmen zum Softwareschutz enthalten. In einem solchen Falle können Sie das Softwareprodukt nicht nutzen, wenn Sie sich nicht vollständig an die vorgeschriebenen Prozeduren halten.« (Verpflichtung in AGB des Lizenzgebers als Vorgabe in OEM-Vertrag, entsprechende Klauseln im Vertrag mit dem Endkunden und dem Händler zu verwenden.) Eine solche Prozedur kann z.B. die »Aktivierungsprozedur« sein. Diese ist nicht in den AGB beschrieben, auch nicht ein einem beigefügten Schreiben. Allenfalls wird beim Start des Programms bzw. dessen erneuter Installation oder Rekonfiguration des Computers vor dem Einsetzen der Sperre gewarnt und zur Aktivierung aufgefordert, wobei noch dazu Berater- und Telefongebühren (bei Problemen benutzen die installierenden Firmen beim Kunden andere als die toll-free-Telefonleitungen) anfallen können, auch wenn die AGB das Gegenteil besagen. Abgesehen von dem oben schon erwähnten Befund, dass ohnehin diese AGB nicht einbezogen sein dürften, sind sie nicht klar und deutlich (s.a. oben Ziffer 3.1). Sie sagen nicht, welche Voraussetzungen die Sperre hat, also was genau die Aktivierungen erfordert. 8.4.6 Einbeziehung Die vorzitierte (leicht veränderte) Klausel steht evtl. nur oder auch im Vertrag zwischen Hersteller und Händler. In diesem Fall kann sie durch einen Hauptvertrag einbezogen sein. Dann stellt sich das angedeutete Problem erst recht, wenn die Aktivierungsprozedur eine technische Leistung ist, deren Ausgestaltung nicht näher beschrieben ist und die auch v.a. nicht garantiert ist. Die Produktaktivierungs-Prozedur kann z.B. aus telekommunikativen Gründen zu bestimmten Zeiten Schwierigkeiten bereiten oder scheitern. Das Problem stellt sich dann ganz ähnlich wie beim »24-Stunden-rund-um-die-UhrService« der Bank. Infolge dessen kommt es evtl. nicht auf die Klarheit und Deutlichkeit an, weil es sich nämlich insoweit um eine Leistungsbeschränkung handelt. In die entsprechende Richtung gehen die Entscheidungen gem. 3.2.8 und 3.2.9 (LG München I v. 4. 4. 2000, CR 2000, 506, wobei noch die Besonderheit Freundesgabe Büllesbach 2002 Rechtliche Konzepte für den Softwarevertrieb 391 war, dass das Gericht darauf abstellte, dass der Benutzer weder auf der Verpackung noch im Lizenzvertrag auf diese Nutzungsbeschränkungen hingewiesen wurde; OLG München v. 12. 10. 2000, CR 2001, 11). 8.5 Nutzungsintensitätsabhängige Vergütung Software-Vergütungssysteme können wirksam nur dann die Vergütung von der Nutzungsintensität und eventuellen Kapazität des zugrunde liegenden Rechners abhängig machen, wenn der zugrunde liegende Vertrag als Mietvertrag bzw. als Vertrag eigener Art und somit als Lizenzvertrag qualifiziert werden kann (BGH v. 3.6.1981, NJW 1981, 2684 – Programmsperre I). Als Vorgabe für Software-Vergütungssysteme in Abhängigkeit von Nutzungsintensität und Kapazität gilt aber: Bei der vertragstypologische