Was Recht ist. Ihr gutes Recht

Transkript

1 Den nächsten Termin für Ihre Autoinspektion verpassen Sie nicht: Ein kleiner Chip im Wagen registriert den Kilometerstand, hat festgestellt, dass der Ölverbrauch zu hoch ist und die Bremsen defekt sind. Mit dem Datenverarbeitungssystem der Werkstatt hat er einen Termin vereinbart, der Ihnen per Telefon mitgeteilt wird. Leider hat sich am gleichen Tag auch die Versicherung bei Ihnen gemeldet. Der Chip, der die Werkstatt alarmiert, hat Ihre Kilometerleistung auch Ihrem Versicherer mitgeteilt. Ihr Jahreslimit ist überschritten, der Beitrag wird nach oben angepasst. Während dieses Zukunftsszenario für die einen nach Big Brother klingt, preisen andere die positiven Aussichten der Informationsgesellschaft. Und wer hat Recht? Wenn Computer mit Computern sprechen und so genannte Smart Objects wie der kleine Chip oder Sensoren Informationen weitergeben und verarbeiten, kann dies neben erwünschten eben auch unerwünschte Folgen haben je nach Perspektive. Das Recht auf informationelle Selbstbestimmung setzt dem technisch Möglichen Grenzen. Im Volkszählungsurteil des Bundesverfassungsgerichtes von 1983 urteilen die Richter, dass die Bürger(innen) wissen können sollen, wer was wann und bei welcher Gelegenheit über sie weiß. Ist dieses Recht in Gefahr, wenn Chips und Sensoren, die Informationen weitergeben und verarbeiten können, immer häufiger in Gebrauchsgegenstände des Alltags integriert werden? Oder überwiegen die positiven Möglichkeiten dieses Internet der Dinge? Im Blickpunkt: Informationelle Selbstbestimmung thematisiert die Entstehung und aktuelle Bedeutung des Rechts, skizziert Konfliktlinien und beschreibt, mit welchen Fragen zum Thema wir uns schon heute und künftig zu beschäftigen haben, wenn wir unser Recht wahrnehmen wollen.

2 Was Recht ist Wer sich die Frage stellt, wer wann und wieso welche persönlichen Daten erheben, speichern, verändern, übermitteln, sperren, löschen oder nutzen darf, beschäftigt sich auch mit dem Recht auf informationelle Selbstbestimmung. Wer mit Kundenkarten bezahlt, aber seine Urlaubsfotos nicht im Internet zeigt oder dem Telefonanbieter die Nutzung seiner Adresse zu Werbezwecken nicht gestattet, macht Gebrauch vom Recht auf informationelle Selbstbestimmung durch Einwilligung in die Nutzung personenbezogener Daten oder deren Beschränkung. Im Volkszählungsurteil von 1983 beschreibt das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung als Teil des im Grundgesetz verankerten Rechts auf freie Entfaltung der Persönlichkeit und der Menschenwürde. Vorangegangen war dem Urteil eine umfangreiche Protestbewegung mit zahlreichen Prozessen, die sich gegen das Volkszählungsgesetz aus dem Jahr 1982 wandte. Ihr gutes Recht Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. (BVerfGE 65, 1ff.) Das Datenschutzrecht soll die informationelle Selbstbestimmung gewährleisten und den Einzelnen vor dem Missbrauch seiner persönlichen Daten schützen. In Deutschland ist der allgemeine Datenschutz für Bundesbehörden und private Unternehmen durch das Bundesdatenschutzgesetz und für öffentliche Stellen der Länder durch die Landesdatenschutzgesetze geregelt. Insgesamt existiert außerdem eine Vielzahl besonderer Datenschutzbestimmungen für unterschiedliche Bereiche. So ist beispielsweise Datenschutz in der Telekommunikation bei der Übertragung und Vermittlung von Daten durch das Telekommunikationsgesetz und die hierzu erlassenen Verordnungen geregelt. Für den Datenschutz bei der individuellen Kommunikation gelten das Teledienstegesetz und das Teledienstedatenschutzgesetz (TDDSG). Der Mediendienste-Staatsvertrag hingegen gilt für Dienste, bei denen Informationen im Vordergrund stehen. Das Recht am eigenen Bild wird über 78 des Kunsturhebergesetzes geregelt. Die Fülle bereichsspezifischer Regelungen wird häufig kritisiert. Dies zeigt, wie schwierig es ist, eine Balance zu finden etwa zwischen der für staatliches Handeln notwendigen Ermittlung von Daten zur Zusammensetzung der Bevölkerung und den Schutzrechten des Einzelnen. Grundsätze des Datenschutzes Zu den personenbezogenen Daten gehören Angaben zur Person, wie zum Beispiel Name, Adresse, Geburtsdatum, Geburtsort, Telefonnummer, Familienstand und Beruf. Besondere Regelungen gelten für sensible Daten, zu denen Angaben über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheit und Sozialleben gehören. Diese Daten dürfen nur erhoben werden, wenn ein Gesetz es ausdrücklich vorsieht. Werden personenbezogene Daten zu familiären oder rein persönlichen Zwecken erhoben und verarbeitet, unterliegen sie den Datenschutzregelungen nicht. Auch ist es nach dem Bundesdatenschutzgesetz erlaubt, bestimmte Daten für Werbezwecke zu verwenden, solange die Betroffenen nicht widersprechen. Die Prämisse des Datenschutzes ist das so genannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn ein Gesetz oder die betroffene Person selbst die Verarbeitung erlaubt. Ein wesentlicher Grundsatz des Datenschutzes ist das Prinzip der Datenvermeidung und Datensparsamkeit. Demnach sollen keine oder so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden.

3 Links Volkszählungsurteil des Bundesverfassungsgerichts von 1983: Bundesdatenschutzgesetz (BDSG): Bürgerservice Recht: Das Prinzip der Erforderlichkeit verlangt, dass nur diejenigen Daten erhoben, gespeichert und verarbeitet werden dürfen, die für die Erfüllung der jeweiligen Aufgabe unbedingt erforderlich sind. Der Grundsatz der Zweckbindung legt fest, dass personenbezogene Daten nur zu den Zwecken verarbeitet werden dürfen, zu denen sie erhoben und gespeichert worden sind. Sobald Daten angefallen und gespeichert worden sind, besteht die Verpflichtung, Maßnahmen zur Gewährleistung der Datensicherheit zu ergreifen. Jede Bürgerin und jeder Bürger in Deutschland hat ein Recht darauf, von Behörden und Unternehmen Auskunft darüber zu erhalten, welche Informationen über sie oder ihn gespeichert sind. Öffentliche und nicht-öffentliche Stellen müssen darüber informieren, zu welchem Zweck die Informationen gespeichert sind, woher diese stammen und an welche Stellen sie übermittelt werden. Zudem hat jede Person das Recht, der Erhebung, Verarbeitung und Nutzung der persönlichen Daten zu widersprechen oder die Löschung und Berichtigung der Daten zu verlangen, auch wenn die Verarbeitung der Daten rechtmäßig wäre. Das Bundesverfassungsgericht hat im Volkszählungsurteil aber auch klargestellt, dass der Einzelne nicht ein Recht im Sinne einer absoluten, uneingeschränkten Herrschaft über seine Daten hat. Die allgemeinen Grundsätze des Datenschutzes können aus besonderen Gründen und in bestimmten Rechtsbereichen eingeschränkt sein. Gesetzgeber, Verwaltung und Rechtsprechung haben dabei immer das Recht auf informationelle Selbstbestimmung gegenüber anderen berechtigten Interessen abzuwägen. Die Aufgabe des Staates Im Dezember 2005 hat das Europäische Parlament dem Entwurf einer Richtlinie zur Vorratsdatenspeicherung zugestimmt, die bis September 2007 in das nationale Recht der EU-Mitgliedsstaaten umgesetzt sein muss. Demnach müssen zukünftig Telekommunikationsunternehmen Informationen über Telefon-, Mobiltelefon-, Internet- und -Verbindungen sowie über die Identität der Beteiligten mindestens sechs Monate aufbewahren. Alle europäischen Staaten sollen zur Ermittlung, Feststellung und Verfolgung von schweren Straftaten auf diese bereits gesammelten Daten zugreifen können. Im Kampf gegen organisierte Kriminalität und Terrorismus wird die Erweiterung der Befugnisse der Sicherheitsbehörden immer wieder diskutiert und realisiert. Seit den Terroranschlägen vom 11. September 2001 stehen internationale Sicherheitsbestrebungen immer wieder im Konflikt mit den Bestimmungen des Datenschutzes: Zahlreiche Gesetze sind bereits verschärft worden, weitere Sicherheitsmaßnahmen sind geplant. Kritiker befürchten eine deutliche Eingrenzung der informationellen Selbstbestimmung und eine weitere Beschneidung der Privatsphäre zugunsten des staatlichen Zugriffs auf persönliche Daten. Hintergrundinformation Ubiquitous Computing / Pervasive Computing: Das Technikleitbild Pervasive Computing bzw. Ubiquitous Computing (kurz: UbiComp) bezeichnet eine neue Entwicklung in der Informations- und Kommunikationstechnologie. Pervasive steht für (alles) durchdringend, ubiquitous für allgegenwärtig. Im Zuge dieser Entwicklung werden künftig immer mehr Alltagsgegenstände mit Mikroelektronik ausgestattet sein. Die so entstehenden intelligenten Objekte, auch Smart Objects genannt, werden nahezu alle Bereiche des täglichen Lebens beeinflussen. Computer werden ihren Dienst zunehmend unsichtbar im Hintergrund ausführen. (Quelle: BSI, Risiken und Chancen des Einsatzes von RFID, S. 14)

4 Technische Entwicklungen und ihre Potenziale Neue technische Entwicklungen stellen neue Fragen an die Interpretation und Realisierung des Rechts auf informationelle Selbstbestimmung. Trends wie Ubiquitous Computing oder Pervasive Computing sind wissenschaftliche Etiketten für die Allgegenwärtigkeit von Informationsverarbeitung in allen Lebensbereichen, die inzwischen mit der Metapher vom Internet der Dinge bezeichnet wird. Aber auch die schon bekannten technischen Möglichkeiten werfen immer wieder die Frage auf, wie angesichts ihrer Realisierung den Bedingungen des Rechts auf informationelle Selbstbestimmung entsprochen werden kann. Einige Entwicklungen und Beispiele werden hier vorgestellt. Computer- und Internetnutzung: Jede Internetnutzung hinterlässt digitale Spuren, die mit relativ geringem Aufwand rekonstruiert werden können. Mit der IP- Adresse verrät der Rechner seine eigene Kennung. Der Browser zeichnet den Surfverlauf auf und speichert jedes geladene Bild im Zwischenspeicher ab. Website und Provider protokollieren, welcher Rechner sich mit welcher Website verbindet. Provider speichern jede und jede Suchanfrage, selbst wenn sie auf dem PC längst gelöscht sind. Über sogenannte Cookies wird ermittelt, welche Suchanfragen von welchem Rechner gestartet wurden. Suchmaschinen durchsuchen Mailinglisten, Chatrooms und Foren nach Neuigkeiten und scannen Nachrichten von Computern, um Vorlieben und Konsumwünsche zu ermitteln und zielgerichtete Werbung auf den jeweiligen Bildschirm bringen zu können. Hierbei können detaillierte Profile einzelner Internetnutzer entstehen. Der Buchladen im Internet weiß deshalb, wofür Sie sich zuletzt interessiert haben und welche Bücher von Kund(inn)en mit einer Ihrem Profil ähnlichen Interessenlage gekauft wurden. Bei der Suche nach Büchern ist das ein schöner Service. Aber sollen diese personenbezogenen Daten auch anderen Buchhändler(inne)n zur Verfügung gestellt oder gehandelt werden dürfen? Biometrische Daten: Biometrie ist die Identifizierung von Menschen anhand körperlicher Kennzeichen, wie Gesicht, Finger- und Handabdrücke, Iris, Stimme, DNA-Informationen. Eingesetzt wird sie im elektronischen Reisepass, an Flughäfen, an Geldautomaten, in Videokameras oder als Zahlungssystem. Hierbei handelt es sich oft um lebenslang gültige, äußerst sensible Daten, die eine Identifizierung von Personen erleichtern. Von ihrem Einsatz verspricht man sich eine größere Effizienz bei der Strafverfolgung und der Gewährleistung von Sicherheit. In der Schlange am Flugschalter ist jedes Mehr an Sicherheit eine Beruhigung. Aber wie werden die aufgenommenen Daten gespeichert, weiterverarbeitet und genutzt? Standortbestimmung: Eingeschaltete Handys melden sich automatisch am nächstgelegenen Funkmast ein. Smartcards mit integriertem Mikroprozessor und Datenspeicher werden in öffentlichen Verkehrsmitteln als Abrechnungssysteme eingesetzt, Mautsysteme erfassen den Verkehr auf Autobahnen. Globale Positionierungssysteme (GPS) dienen zur Orientierung beim Autofahren, im Outdoor-Bereich oder im Leistungssport. Anwender(innen) mancher dieser Techniken können sehr schnell einem geografischen Standpunkt zugeordnet werden. Bei der Suche nach Vermissten kann dies ebenso hilfreich sein wie bei der Fahndung. Aber werden Bewegungsprofile auch dann aufgezeichnet, wenn wir nicht vermisst oder auf der Flucht sind? Radio Frequency Identification (RFID): Diese Funkchips finden immer häufiger Verwendung zum Beispiel an Waren, Verpackungen, Eintrittskarten, im elektronischen Reisepass, in Bibliotheksbüchern und sogar im menschlichen Körper. Sie senden ständig Informationen an unsichtbare Lesegeräte. Beim Skifahren kann der Pass mit Chip an den Einlasspunkten zur Piste die Kontrolle vereinfachen und beschleunigen. Auch Mautsysteme auf Fernstraßen funktionieren dank RFID. Aber sollen alle anfallenden Bewegungsprofile auf Autobahnen gespeichert und ausgewertet werden? Und sollen diese einmal erhobenen Daten auch weitergegeben und ausgetauscht werden dürfen? Kundenkarten: Unternehmen bieten ihren Kund(inn)en eine mit einem Magnetstreifen versehene Karte mit

5 den persönlichen Daten in Verbindung mit geldwerten Vorteilen oder Zusatzleistungen. Motto: beim Einkaufen sparen! Die Karten ermöglichen aber neben Rabatt auch die Erstellung persönlicher Einkaufs- und Konsumprofile, die nach Vorlieben und Neigungen ausgewertet und für werbliche Zwecke eingesetzt werden können. Im günstigen Fall landet ein Prospekt mit dem gerade passenden Angebot im Briefkasten und erleichtert die Entscheidung, im schlechten Fall wird an der Haustür eine unverlangte Ware angepriesen. Gesundheitsdaten: Im Zuge der Modernisierung des Gesundheitswesens ist die Einführung der elektronischen Gesundheitskarte beschlossene Sache. Sie wird die bisherige Krankenversichertenkarte ablösen und wird neben den bisherigen Aufgaben neue Funktionen wie etwa das Speichern von personenbezogenen Gesundheitsdaten ermöglichen. Über die Nutzung der meisten Zusatzfunktionen entscheiden die Patient(inn)en selbst. Der Nutzen liegt dabei auf der Hand: Doppeluntersuchungen können vermieden werden, eine Notfallbehandlung kann schneller und risikoloser erfolgen. Gleichzeitig werden sehr sensible Daten zusammengefasst und gespeichert. Entscheiden diese Informationen künftig über die Beitragseingruppierung beim Wechsel der Krankenkasse? Videoüberwachung: Öffentliche Plätze, Tankstellen, Bankautomaten an vielen Punkten findet inzwischen eine Videoüberwachung statt. Sie erhöht für manche das Sicherheitsgefühl und kann mitunter die Strafverfolgung erleichtern. Gleichzeitig liefert sie viele Daten über den Aufenthaltsort von Menschen und kann dabei tief in die Privatsphäre eingreifen. Wie wird hier die informationelle Selbstbestimmung der oder des Einzelnen geschützt? Scoringsysteme: Das englische Wort score steht für Auswertung, Punktzahl, Spielstand, das Erzielen von Punkten oder dafür, etwas zu erringen. Scoringsysteme basieren auf der Annahme, dass sich das Verhalten von Menschen mit ähnlichen Merkmalen ähnelt, und sich damit auch vorhersagen lässt. Entscheidungen über Kreditvergaben basieren beispielsweise häufig auf der Einschätzung des Verhaltens von Interessierten, die einem so genannten Scoring oder Rating unterzogen werden. Soziodemographische Merkmale wie Adresse, Häufigkeit von Umzügen, Beschäftigungsdauer, Ausbildung oder Arbeitgeber sind dabei ebenso Merkmale, die ausgewertet werden, wie Angaben zu den allgemeinen finanziellen Verhältnissen oder Vertragsdaten, also die Zahl der Verträge, Zahl der Konten oder Zahl und Höhe von Krediten. Kritisiert wird die mangelnde Individualität dieser Verfahren. Sind häufige Umzüge berufsbedingt oder ein Zeichen schlechter Zahlungsmoral? Befürworter verweisen auf die hohe Transparenz von Entscheidungen. Neben neuen Möglichkeiten der Gewinnung von Daten, haben auch die Verfahren zur Speicherung und Auswertung von Daten an Genauigkeit und Komplexität gewonnen. Speichergrenzen existieren faktisch nicht mehr, der Zugriff auf Daten hat sich mit der Leistungssteigerung von Prozessoren vereinfacht und erlaubt, selbst komplizierte Analyseverfahren in großer Geschwindigkeit zu vollziehen. Problematisch erscheint dabei, dass nicht nur einzelne Datenbestände ausgewertet, sondern alle jeweils verfügbaren Datenbanken in Beziehung gesetzt werden können. Die damit verbundenen Konzepte des Data Warehouse und des Data-Mining betreffen schnell das Recht auf informationelle Selbstbestimmung. Hintergrundinformation Data Warehouse / Data Mining: Unter einem Data-Warehouse ( Daten-Lagerhaus ) wird allgemein die Strategie und die damit verbundene Technik verstanden, alle in einer Organisation vorhandenen Daten zeit- und funktionsgerecht in einer einheitlichen Datenbank zur Verfügung zu halten, um sie je nach Belieben für unterschiedlichste Problemfelder abrufen zu können. Data-Mining ( Datenbergbau ) hat das Ziel, Daten aufzuspüren und zu kombinieren, um neue, bisher unbekannte Informationen zu finden. Mittels automatisierter Suche sollen in komplex strukturierten Datenbeständen verborgene Muster oder Trends aufgedeckt werden, um auf diese Weise zu neuen verwertbaren Erkenntnissen zu gelangen. (Quelle: Rossnagel, Handbuch Datenschutzrecht, S )

6 Wie funktioniert informationelle Selbstbestimmung? Wer sein Recht auf informationelle Selbstbestimmung wahrnehmen möchte, muss sich viele Fragen stellen und Antworten finden. Dabei ist abzuwägen zwischen den vielen positiven Chancen neuer technischer Entwicklungen und den zweifellos bestehenden Risiken des Missbrauchs der gesammelten und verfügbaren Daten. Für den alltäglichen persönlichen Umgang mit den eigenen Daten helfen ein paar Regeln: Gehen Sie zurückhaltend mit Ihren persönlichen Daten um und fragen Sie sich, welchen tatsächlichen Mehrwert Sie von der Preisgabe Ihrer Daten haben. Erkundigen Sie sich genau, wer welche Daten von Ihnen haben will und prüfen Sie, wer hinter Preisausschreiben oder Umfragen steckt. Fragen Sie bei Unternehmen oder Behörden unter Berufung auf Ihr Recht auf informationelle Selbstbestimmung nach, welche Daten über Sie gespeichert sind. Bestehen Sie gegebenenfalls auf Löschung oder Sperrung Ihrer Daten. Beachten Sie das Kleingedruckte in (Online-)Verträgen und willigen Sie nicht darin ein, dass Ihre Daten weitergegeben werden. Nutzen Sie im Internet die Möglichkeiten der Anonymisierung. Erstellen Sie Ihre Passwörter aus einer Kombination aus Groß- und Kleinbuchstaben mit Ziffern und mindestens 10 Stellen. Erneuern Sie sie alle paar Monate und speichern Sie sie nicht auf Ihrem Rechner. Legen Sie sich mehrere -adressen für unterschiedliche Zwecke zu. Stellen Sie an Ihrem Browser möglichst hohe Sicherheitseinstellungen ein und deaktivieren Sie Cookies, wo dies möglich ist. Schließen Sie nicht mehr benötigte Browser-Fenster, insbesondere, bevor Sie sensible Aktionen starten (z. B. Online-Banking, Online-Shoppping). An wen kann ich mich wenden? Datenschutzbeauftragte und Datenschutzbehörden von Bund und Ländern kontrollieren die Einhaltung der Datenschutzgesetze. Für die Kontrolle der Behörden und Unternehmen mit Sitz in NRW ist die Landesbeauftragte für Datenschutz und Informationsfreiheit zuständig (siehe Kasten rechts oben). Adressen und Links Datenschutzbeauftragte und Datenschutzbehörden Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Internet: Kavalleriestraße Düsseldorf Postfach Düsseldorf Tel.: 0211/ Fax: 0211/ PGP-Schlüssel: RSA 1024 Bit Key-ID: 0x591E0E75 erzeugt am Fingerprint: B14D 262E DC48 C47E 02A0 C E 0E3F Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Internet: Husarenstraße 30 D Bonn Tel.: 01888/ oder 0228/ Fax: 01888/ oder 0228/ poststelle@bfdi.bund.de Links zum Datenschutz und zur Internetsicherheit: Virtuelles Datenschutzbüro: Deutschland sicher im Netz: IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik: Tu-Berlin: Sicherheit im Internet: heise Security: Mehr Sicherheit im Internet durch Medienkompetenz: mekonet Medienkompetenz-Netzwerk NRW: Initiative IT-Sicherheit bei media NRW, der Informationsplattform der Landesregierung über den Medienstandort NRW: Impressum Die Broschüre ist mit Mitteln der Staatskanzlei NRW entstanden. Sie kann kostenlos unter medienkompetenz/imblickpunkt/ herunter geladen werden. Redaktion: ecmc Europäisches Zentrum für Medienkompetenz GmbH, Bergstr Marl Tel.: +49 (0) Fax: +49 (0) info@ecmc.de Internet: Bildquellen: DIGITALstock Stand: Dezember 2006