Juristisch gesehen gilt für die neuen Medien das Bundesdatenschutzgesetz von 1978. Da das Internet aber in rasanter Form soziale und technische Neuerungen hervorbringt, passen dessen Vorschriften immer weniger. Wie man den Bürger vor der unerwünschten Nutzung seiner Daten schützen kann, ohne die Handlungsfreiheit des Einzelnen zu beschneiden oder Innovationen zu verhindern, erklärt Sicherheits- und Internet-Rechtsexperte Dirk Heckmann.

Worin unterscheiden sich Datenschutz und Datensicherheit?

Datensicherheit setzt sich aus drei Komponenten zusammen: Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Daten. Wenn Daten etwa wegen eines Serverausfalls nicht abrufbar sind, ist die Datensicherheit gefährdet. Das gilt auch, wenn Daten gegen oder ohne den Willen des Betroffenen verändert werden oder unberechtigten Personen zur Kenntnis gelangen. Dies trifft auf alle Arten von Daten zu - Geschäftsdaten, geografische Daten, Wetterdaten. Datenschutz bezieht sich nach deutschem Recht nur auf personenbezogene Informationen wie Name, Anschrift, politische Meinung, persönliche Bilder u.a.m. Datenschutz und Datensicherheit sind also nicht synonym, bedingen sich aber vielfach. Wenn zum Beispiel die Firewall eines Geldinstituts ausfällt, spricht man von fehlender Datensicherheit, die aber gleichzeitig zu einem Datenschutzproblem wird.

Welche Schwächen hat das Datenschutzrecht?

Das Datenschutzrecht basiert auf dem Recht informationeller Selbstbestimmung. Geschützt wird also die Entscheidung des Einzelnen, selbst zu bestimmen, wer was wann über ihn weiß. Damit ist selbst die Preisgabe intimer Daten gerechtfertigt, wenn eine verfassungskonforme gesetzliche Ermächtigung oder eine wirksame persönliche Einwilligung vorliegt. Wirksam ist diese, wenn der Betroffene hinreichend über Umfang und Folgen der Datenverarbeitung informiert wird. Die Schwäche des geltenden Datenschutzrechts liegt darin, dass eine Einwilligung bereits dann wirksam ist, wenn entsprechende juristische Einwilligungstexte angekreuzt oder angeklickt werden. Verstanden werden sie von den wenigsten, obwohl nur ein wirkliches Verständnis die Datenverarbeitung legitimieren kann.

Welche Methoden könnten helfen, dies zu verbessern?

Man könnte die Einwilligungsprozesse grafisch darstellen, ähnlich wie beim eCommerce mit der Warenkorbfunktion oder der neuen Button-Lösung gegen Abo-Fallen. Hier werden - sehr benutzerfreundlich - die einzelnen Schritte aufgezeigt. Statt mit kleinteiligen Fußnoten wird hier versucht, virtuelle, z. T. komplexe Vorgänge realistisch abzubilden und dem Einzelnen verständlich zu machen. Das funktioniert gut. Darüber hinaus muss es Unterschiede zwischen wichtigen und weniger wichtigen Daten geben. Nach dem BDSG werden sämtliche Daten unterschiedslos geschützt. Auf diese Weise geht auch der Blick für die "großen Themen" verloren, bei denen es um erhebliche Weichenstellungen geht. eHealth ist solch ein Thema.

Wie meinen Sie das?

Es wäre hilfreich, wenn zum Beispiel ein Apotheker über eine elektronische Gesundheitskarte erkennen könnte, welche Medikamente jemand gerade einnimmt. Dann kann er auf Unverträglichkeiten mit weiteren eventuell verschriebenen Medikamenten hinweisen. Seit Jahren aber werden gegen solche Innovationen des eHealth datenschutzrechtliche Bedenken geäußert. Auch hier müsste im Interesse informationeller Selbstbestimmung und eines optimierten Gesundheitsschutzes ein Modus gefunden werden, auf verständliche Weise über die Möglichkeiten sinnvoller Verarbeitung von Gesundheitsdaten zu entscheiden.

Wie stellen Sie sich die individuelle Freigabe von Daten vor?

Darüber entscheidet jeder selbst. Ein ängstlicher Mensch gibt dann eben weniger Daten frei. Dafür kann er auch weniger Möglichkeiten nutzen. Grundsätzlich brauchen wir eine Diskussion über das Sicherheitsniveau, das wir haben wollen. Nicht abstrakt, sondern realistisch und praktisch. Unter dem Tenor: Was wollen wir und was darf es kosten? Zurzeit nutzen wir IT auf gut Glück. Wir benötigen Transparenz bei Sicherheitsstandards. Reicht einem Nutzer eine etwa angebotene Basissicherheit nicht, kann er seinen Sicherheitsstatus durch Premiumprodukte erhöhen. Dafür brauchen wir wiederum Unternehmen, die Produkte mit verschiedenen Sicherheitsstufen anbieten. Ich sehe Potenzial - bis hin zur Weltmarktführerschaft - bei einer solchen "juristischen Modellierung" von Software.

Wie könnte so ein Sicherheitsstandard aussehen?

Man könnte das mit der Sicherheit beim Auto vergleichen. Bei Fahrzeugen sind Sicherheitsgurte und ggf. Winterreifen vorgeschrieben; ob man aber nun einen Überrollbügel zur Vorbeugung möchte und noch fünf Airbags, das entscheidet der Käufer selbst. Genauso muss es ein Niveau für Hard- und Software geben, das nicht unterschritten wird, bei dem es aber auch eine klare Verantwortung und Haftungsverteilung gibt.

Was erwarten Sie vom Gesetzgeber und den Politikern?

Der Gesetzgeber müsste das Datenschutzrecht fein justieren und bei trivialen Sachverhalten großzügiger sein. Datenschutzrecht soll Innovationen ermöglichen, nicht verhindern. Das Thema Cloud Computing ist ein gutes Beispiel. Hier werden in der Politik Ängste geschürt, statt aufzuklären. So lassen sich die Interessen der Nutzer und die Interessen der Wirtschaft in Einklang bringen. Es sei zugegeben, dass derzeit noch ein Informationsgefälle besteht. Informationelle Selbstbestimmung kann nur dort herrschen, wo die Menschen über die Gestaltungsmöglichkeiten und Risiken der IT- und Internetnutzung verständlich informiert werden. Deshalb ist es auch wichtig, dass Medienkompetenz im Schulalltag gelebt wird. Hier gibt es schon vorbildliche Initiativen, auch von Unternehmen wie Microsoft. Denn eines ist sicher: Wir werden künftig noch viel mehr Daten erzeugen. Deshalb ist Datensicherheit eine Verantwortung "zur gesamten Hand": Staat, Wirtschaft und Gesellschaft sind als Anbieter und Nutznießer von IT gleichermaßen gehalten, das ihnen jeweils Mögliche zur Gewährleistung von Datenschutz und Datensicherheit beizutragen.

Prof. Dr. Dirk Heckmann, Mitglied des Bayerischen Verfassungsgerichtshofs, ist Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheitsrecht und Internetrecht an der Universität Passau und Leiter des Center for IT-Compliance and Trust an der Zeppelin Universität Friedrichshafen. Er berät Ministerien und Parlamente in Bund und Ländern sowie die Enquetekommission "Internet und digitale Gesellschaft". Heckmann ist Mitglied der Arbeitsgruppe 5 auf dem Nationalen IT-Gipfel der Bundesregierung und stellvertretender Vorsitzender der Deutschen Gesellschaft für Recht und Informatik.