Letztes Wochenende fand der schweizerische Juristentag in St.Gallen zum Thema «Recht im digitalen Zeitalter» statt. Nachfolgend findet sich ein Auszug des von Herbert Burkert, Florent Thouvenin und mir geschriebenen Beitrags zur traditionellen Festgabe der Universität. Er handelt von erlebten, bevorstehenden und versäumten Paradigmenwechsel im Recht zufolge Digitalisierung. Wir verweisen auf die Gefahren von anlasslosen, automatisierten Abrufen aus Datenbanken und fordern, die Digitalisierung nicht nur für die Erhöhung der Sicherheit, sondern auch für die Bewahrung der Freiheit zu nutzen:
Zuschauer des jüngsten Star Trek Films «Into Darkness» (2013) dürften nicht schlecht gestaunt haben, dass nach der Eröffnungsszene ausgerechnet ein Archiv der Sternenflotte (das nach der im Jahr 2233 zerstörten USS Kelvin benannte «Kelvin Memorial Archive») Ziel eines terroristischen Anschlags wird. Rasch folgt die Aufklärung, dass das Archiv von einem Geheimdienst («Section 31», so eine Art P-26 der Zukunft) für äusserst obskure Zwecke genutzt wurde. Der Zuschauer darf also beruhigt zur Kenntnis nehmen, dass Archive auch im Jahr 2259 keine primären Angriffsziele darstellen. Weit mehr als die kriegsrechtlichen Implikationen dieser barbarischen Attacke interessiert im vorliegenden Zusammenhang: Archive sind nach der Vorstellung der Drehbuchautoren offenbar auch in ferner Zukunft Orte, die physisch an einem Ort lokalisiert sind, wohl inklusive Archivare mit Ärmelschonern und einem omnipräsenten Zettelkatalog. Mit dieser Vorstellung untrennbar verbunden ist, dass Archive unzugänglich sind, der Gang ins Archiv also mühselig sein muss.
Im Alltag denken wir kaum daran, dass uns viele Archive nahezu ständig zur Verfügung stehen und dass wir deren Inhalte eigentlich fortwährend abfragen. Wo sich diese Archive «physisch» befinden, ist von sekundärer Bedeutung; Archive befinden sich heute vielfach an mehreren, mitunter weit voneinander entfernten Orten, u.U. mit redundant gelagerten Datenbeständen. Eine stattliche Anzahl dieser Archive steht uns kostenlos zur Verfügung, andere nur gegen Entgelt oder nur im Rahmen unserer beruflichen Tätigkeit. Ungeachtet dieser möglichen Einschränkungen stehen uns bei fast allen Archiven, sobald unser Zugang genehmigt wurde, die Wissensbestände unmittelbar «at our fingertips» zur Verfügung. Kein Gatekeeper – der Archivar mit Ärmelschonern – hinterfragt die Gründe für unsere Recherchen. Ohne unsere Motive zu werten, vermittelt das Passwort meist das gesamte Wissen einer Organisation, solange dieses elektronisch gespeichert ist. Katakombenartige Gewölbe mit grossen Aktenschränken und verstaubten Akten gibt es nur noch in unseren Köpfen.
Die durch die Digitalisierung von Informationsbeständen geschaffene Erleichterung des Zugangs zu Archiven hat die Rechtsentwicklung nur teilweise berücksichtigt. Soweit sich das Recht mit dem Schutz von Informationen befasst, geht es vor allem um den Schutz vor unbefugten Zugriffen durch Aussenstehende. So richtet sich das Datenschutzgesetz zur Datensicherheit an die datenbearbeitende Organisation und weniger an die für sie handelnden Mitarbeiter. Freilich stellt das passive Zugänglichmachen von Daten ein Bekanntgeben und damit eine Datenbearbeitung dar, doch hatte der Gesetzgeber hier vor allem die Bekanntgabe an Dritte im Auge. Korrigiert wird die uferlose Datenbekanntgabe innerhalb einer Organisation immerhin durch das Vertraulichkeitsprinzip. «Dritte» im Sinne des Gesetzes sind nicht nur diejenigen, die ausserhalb einer wirtschaftlichen Einheit (z.B. Konzern) oder einer rechtlichen Einheit (juristische Person) stehen, sondern auch diejenigen, die für die Erfüllung ihrer Aufgabe den Zugriff auf die fraglichen Personendaten nicht benötigen. Eine datenschutzrechtlich relevante Bekanntgabe kann also auch dann vorliegen, wenn diese an
Mitarbeiter derselben Organisation erfolgt.
Über diesen allgemeinen datenschutzrechtlichen Grundsatz hinaus befasst sich das Recht mit unbefugten Zugriffen durch «Insider» vordringlich dort, wo diese Zugriffe – oder besser Übergriffe – schon im analogen Zeitalter problematisch waren. So darf das Personaldossier – ob auf Papier oder Server – auch innerhalb des Betriebs nur für diejenigen Personen zugänglich sein, die dieses zur Erfüllung ihrer Aufgaben benötigen. Dies aber weniger aufgrund einer expliziten datenschutzrechtlichen Vorschrift, sondern als Ausfluss der Fürsorgepflicht des Arbeitgebers, die auch den Persönlichkeitsschutz mit umfasst.
Zumindest keine expliziten Aussagen finden sich im Recht dazu, dass ein befugtes Mitglied einer Organisation auch unbefugte Archivzugriffe vornehmen könnte. Mit anderen Worten geht die Rechtsordnung – vielleicht zu Recht, vielleicht zu naiv – davon aus, dass sich der Einzelne an die ihm gesetzten Grenzen hält und die ihm eingeräumten (Macht‑)Befugnisse nicht missbraucht. Dass jemand angesichts der Fülle abrufbarer Informationen geneigt sein könnte, seine persönliche Neugier zu befriedigen, findet kaum Erwähnung im Schrifttum. Dabei gibt es zahlreiche – wenn auch lediglich anekdotische – Hinweise, in jüngerer Zeit vor allem aus Deutschland, dass diese Annahme in Bezug auf die Beachtung des Datenschutzes nicht zutrifft:
- So berichtete die Süddeutsche Zeitung am 25. August 2014, dass in Bayern mehrere tausend Finanzbeamte jahrelang unkontrolliert Zugriff auf die Steuerakte von Uli Hoeneß, dem früheren Präsidenten des FC Bayern München, hatten. Details aus dieser Akte flossen an die Presse, was zu einem Strafverfahren führte.
- Der frühere Bundesdatenschutzbeauftragte Peter Schaar kritisierte schon 2011 die inflationären Kontenabrufe durch die Finanz‑ und Sozialbehörden; die Anzahl der Abrufe ist in der Tat von 44‘000 (im Jahr 2009) auf 142‘000 (im Jahr 2013) gestiegen, wie auch die Zahl der zugriffsberechtigten Stellen.
Der automatisierte Abruf gab Anlass zu einem Entscheid des Bundesverfassungsgerichts, das den Eingriff in das informationelle Selbstbestimmungsrecht durch die einschlägigen Normen im Wesentlichen schützte. Allerdings hielt auch das höchste deutsche Gericht fest, dass «[d]ie Automatisierung des Abrufverfahrens […] das Risiko zahlloser und, wenn sie ohne hinreichende Verdachtsmomente erfolgen, rechtswidriger Routineabrufe begründen» kann, vor allem wenn dem Betroffenen aufgrund Geheimhaltung keine Gegenwehr ermöglicht würde. Für die Schweiz ist die Thematik noch wenig aufgearbeitet und es sind soweit ersichtlich keine Gerichtsentscheide zu automatisierten Abrufverfahren zu verzeichnen. Im Rahmen der BÜPF-Revision in die öffentliche Diskussion geraten ist die Möglichkeit des Einsatzes von «besonderen technischen Geräten zur Überwachung des Fernmeldeverkehrs», namentlich sog. IMSI-Catchern, welche die Identifikation von Mobilfunkteilnehmern in einem weiten Umkreis um die Zielperson herum ermöglichen.
Relativ klar scheint immerhin, dass auch in der Schweiz ein ohne Anlass erfolgendes, routiniertes Abrufen von Personendaten als Verstoss gegen die Datensicherheit sowie die Grundsätze der Datenbearbeitung (insb. Zweckbindung, Erkennbarkeit, Verhältnismässigkeit sowie Treu und Glauben) anzusehen wäre; dies umso mehr, falls diese Abrufe zum persönlichen Vergnügen erfolgen sollten. Die Gefahr datenschutzwidriger Abfragen durch an sich befugte Personen soll durch eine Protokollierung der Abrufe eingedämmt werden können; die Angst vor nachträglicher Entdeckung soll die abrufenden Personen also disziplinieren. So verlangt das deutsche Gesetz über das Kreditwesen für die Datenschutzkontrolle auch die Protokollierung der Person, die einen Abruf durchgeführt hat; diese Daten sind mindestens 18 Monate aufzubewahren und spätestens nach zwei Jahren zu löschen. Ähnlich zum deutschen Recht sehen auch in der Schweiz gewisse Rechtsnormen eine Bekanntgabekontrolle von Empfängern von Personendaten vor; vereinzelt wird die umfassende oder auch nur periodische Protokollierung jeder Datenbearbeitung verlangt.
Angesichts der wohl zahllos erfolgenden Abfragen ist unwahrscheinlich, dass solche Protokolle überhaupt verdächtige Abfragen kenntlich machen könnten. Die Aussagekraft der Protokolldatei ist schon deshalb beschränkt, weil diese nur die Tatsache des Abrufs, nicht aber die Beweggründe zum Abruf dokumentiert; davon abgesehen sei die Auswertung des Protokolls ohnehin schwierig. Die Protokollierung hat jedenfalls im Justizwesen tätige Freunde eines der Autoren nie davon abgehalten, einen Seiten-Blick in diese Datenbanken zu werfen. Allenfalls wird zukünftige Rechnerleistung einmal in der Lage sein, unter hunderttausenden von Abfragen die zulässigen von den unzulässigen zu unterscheiden. Heute belastet die Protokollierung jedoch die Performance eines Systems erheblich.
Den sich aus dem heimlichen Zugang zu digitalen Archiven ergebenden Gefahren für den Persönlichkeitsschutz kann also kaum nur mit stärkeren internen Kontrollmechanismen begegnet werden. Die Informationstechnologie kann und sollte vielmehr auch genutzt werden, Transparenz über erfolgte Zugriffe auf Personendaten herzustellen, vor allem wenn es um die Datenbearbeitung durch – grundrechtsgebundene – staatliche Organe geht. Damit würde den Betroffenen die Möglichkeit gegeben, diese Organe mittels eines wirksamen Rechtsschutzes für Persönlichkeitsverletzungen zur Verantwortung zu ziehen. Voraussetzung dafür ist freilich eine aktive Information über erfolgte Datenbearbeitungen, die den Betroffenen heute ohne weiteres automatisiert, auf dem Wege elektronischer Kommunikation zur Verfügung gestellt werden könnte. Dann müsste auch nicht – wie es das Bundesverfassungsgericht tut – einfach darauf vertraut werden, dass die zu überwachenden Behörden die Überwachung von sich aus selbst ermöglichen. Mit anderen Worten erlaubt die Informationalisierung des Staates auch eine neue Balance zwischen kollektiven Interessen (z.B. Sicherheit, Rechtsbefolgung) und Individualinteressen (z.B. Freiheit, Privatsphäre, Rechtsschutz). Wer den durch Datenschutz gewährleisteten Persönlichkeitsschutz ernst nimmt, schenkt dieser Balance bei der Gestaltung zukünftiger Rechtsnormen auch mehr Beachtung.
St.Gallen, 18. September 2015