Freie und Hansestadt Hamburg

Call for Input Johannes Caspar

Johannes Caspar

Die Ressource Information ist der Treibstoff der digitalen Gesellschaft. Diese gilt es künftig zu schützen, aber auch nach Maßgabe der Rechtsordnung zu verteilen. Hierbei ist nicht nur das Spannungsverhältnis zwischen informationellem Selbstbestimmungsrecht und den berechtigten Interessen der datenverarbeitenden Stellen zu lösen. Es gilt auch, einen möglichst breiten Zugang zu Informationen als eine zentrale Voraussetzung für demokratische Prozesse in einer digitalen Bürgergesellschaft zu schaffen. Denn staatliches Handeln muss in einem demokratischen Verfassungsstaat möglichst transparent erfolgen. Dies gilt insbesondere für die Übertragung von Infrastrukturverantwortung auf private Rechtssubjekte.

Die Zuteilung der Ressource Information stellt bereits heute eine zentrale Aufgabe im Kompetenzkatalog der Datenschutz- und Informationsfreiheitsbeauftragten des Bundes und der Länder dar. Längst ist der Datenschutzbeauftragte zu einem Informationsmanager geworden, der die Verteilung der Ressource Information nach Maßgabe der grundrechtlichen sowie einfachgesetzlichen Vorgaben in der Rechtsanwendung und damit auch Abwägungsfragen begleitet und moderiert. Die Umsetzung neuer Konzepte transparenten staatlichen Handelns wie etwa dem Hamburgischen Transparenzgesetz erweist sich dabei als treibende Kräfte hin zu einer komplexen Aufgabe der Informationsverteilung, bei der sowohl die Schutzsphäre der Privatheit als auch die Informationschancen der Akteure zu berücksichtigen und gegeneinander abzuwägen sind.

Mit der Änderung der Aufgabenstellung im Sinne einer Flexibilisierung seiner Funktionen ist letztlich auch eine Loslösung der Datenschutzaufsichtsbehörden von der rein klassischen Funktion der Eingriffsabwehr verbunden. Die Zukunft des Datenschutzes wird sich auch zukünftig nicht allein auf dem Sektor präventiv-repressiver Ordnungsverwaltung abspielen, sondern wird immer stärker die intelligente Betreuung und Begleitung des Handelns nicht-öffentlicher Stellen im kooperativen Sinn beinhalten.

Für die Datenschutzbehörden sollte es künftig möglich sein, dienstleistungsorientierte Lösungen anzubieten, die auf eine Beratung und freiwillige Selbstkontrolle verantwortlicher Stellen abzielen. Zwar muss der Vorrang des Rechts unumstritten bleiben. Datenschutz findet aber im Idealfall nicht erst dann statt, wenn die Bürger die Aufsichtsbehörden auf Verstöße aufmerksam machen. Vielmehr muss der Schutz der Daten bereits im Vorfeld von Produktentwicklungen und der Implementierung neuer Geschäftsprozesse berücksichtigt werden. Intelligenter und moderner Datenschutz muss präventiv wirken. Hier gilt es, Unternehmen darin zu bestärken, möglichst frühzeitig Vorkehrungen zu treffen, um datenschutzkonforme, kundenfreundliche und damit auch wirtschaftlich nachhaltige Angebote zu entwickeln. Die Datenschutz-Auditierung von Unternehmen wie auch die Zertifizierung von Produkten können hierzu ebenso beitragen wie die Bestellung von betrieblichen (und behördlichen) Datenschutzbeauftragten oder die Förderung von branchenweiten, freiwilligen Selbstverpflichtungen, die eine technisch flexible Umsetzung von Datenschutzstandards ermöglichen und die Aufsichtsbehörden entlasten. Hierfür bedarf es aber echter Selbstverpflichtungen und nicht lediglich unverbindlicher und rechtlich nicht bindender Zielvorgaben.

Die Potentiale neuer Steuerungsinstrumente entfalten sich allerdings nicht von selbst. Voraussetzung ist, dass gerade bei den modernen Unternehmen der Kreativ- und Medienwirtschaft, in denen sich der digitale Wandel in besonderem Maße vollzieht, die Bereitschaft wächst, sich als selbstverantwortliche Akteure zu verstehen, den Datenschutz eben auch als Standort- und Wettbewerbsvorteil in ihre Organisationsstruktur zu implementieren. Umgekehrt muss den Unternehmen hierzu ein verbindlicher Rahmen zur freiwilligen Umsetzung von datenschutzkonformen Verfahren und Organisationsmustern zur Verfügung gestellt werden, aus dem sich erwartungsfeste und verlässliche Strukturen ergeben. Das Beispiel des modernen Umweltrechts zeigt, dass betriebliche Selbstverantwortung und Selbstkontrolle durchaus einen wichtigen Raum zur Ergänzung des klassischen Instrumentariums der Ordnungsverwaltung einnehmen können. Im Datenschutzrecht liegen hier noch viele Ansätze brach. Auch die Diskussion über eine EU-Datenschutz-Grundverordnung verläuft eher im Bereich der Eingriffsverwaltung und bringt für die beschriebenen Möglichkeiten wenig Neues.

Um diese Potentiale zu aktivieren, bedarf es der Schaffung innovativer Regelungsstrukturen einerseits, aber auch einer verbesserten Ausstattung der bislang nur unzulänglich auf den Rechtsvollzug ausgerichteten Datenschutzbehörden selbst. Insoweit setzen neue regulatorische Ansätze der kooperativen datenschutzrechtlichen Steuerung auch die personelle und finanzielle Stärkung der Datenschutzbehörden voraus. In diese Richtung wird sich künftig das staatliche Informationsmanagement bewegen müssen, um sowohl mehr Transparenz für die Beteiligung an demokratischen Prozessen, als auch einen besseren Schutz für das informationelle Selbstbestimmungsrecht in der digitalen Gesellschaft zu gewährleisten.