„Wëlle mir bleiwe, wat mir sinn?“
Die luxemburgische Genese des Datenschutzes
Das Recht auf den Schutz persönlicher Daten ist ein europäisches Grundrecht. Es findet seine Grundlage in der EU-Grundrechtecharta, in der Datenschutz-Grundverordnung und nicht zuletzt in der Rechtsprechung des Gerichtshofs der Europäischen Union. In diesem europäischen Rahmen entfaltet sich die Bedeutung dieses Grundrechts als ein normativ konstituierendes Element der digitalen Gesellschaft. Alles ist Information, Daten sind Werte an sich. Sie sind das Kapital der Digitalkonzerne und liefern Staat und Gesellschaft Material und Möglichkeit sozialer Kontrolle in einem kaum vorstellbaren Ausmaß. Am Umgang mit Daten und Informationen, an denen machtvolle private und öffentliche Akteure ein ökonomisches oder politisches Interesse haben, entscheidet sich, wie es um unsere Freiheit im 21. Jahrhundert bestellt sein wird. Werden wir noch politisch souverän sein gegenüber sich selbst reproduzierenden Algorithmen? Bestimmen wir über unsere Daten, oder bestimmen die Daten über uns? Es geht um nicht weniger als um den Schutz des Kerns unserer Persönlichkeitsrechte. Unsere Daten sind Teil von uns, Teil unserer Würde, wesentliches Element unserer Identität. Das Recht auf den Schutz der persönlichen Daten ist das Mittel, um politische Selbstbestimmung angesichts der Wucht der Digitalisierung überhaupt noch zu ermöglichen. Daran hängt nicht weniger als die Legitimation des demokratischen Rechtsstaats selbst.
Aus dieser Bedeutungsschwere ergibt sich ein Leitmotiv, das die Diskussion um den Datenschutz im europäischen (mithin auch luxemburgischen) Strafverfahrensrecht prägen sollte. Die in den 1980er und 90er Jahren und zu Beginn dieses Jahrhunderts entwickelten Standards des Datenschutzes reichen nicht mehr aus, um den Risiken der Digitalisierung für individuelle Grund- und Freiheitsrechte wirksam zu begegnen. Es bedarf innovativer Anpassung. Kriminaljustizsysteme verlangen daher nicht nur nach Ergänzungen ihrer Datenschutzkonzeptionen, sondern nach nachhaltiger Reform.
Neue Herausforderungen
In den Maßstäben des europäischen Datenschutzrechts und seiner Interpretation durch den Gerichtshof der Europäischen Union spiegeln sich die neuen Akzentuierungen des Datenschutzes wider. Über die informationelle Selbstbestimmung hinaus, geht es auch darum, dass Bürgerinnen und Bürger in Systemen und Netzwerken der Datenverarbeitung stets wirksam bestimmen können, was mit ihren persönlichen Daten geschieht, wer Zugriff auf sie hat, unter welchen Voraussetzungen Daten geändert, berichtigt oder gelöscht werden müssen. Dabei ist der private oder staatliche Zugriff nicht mehr nur auf personenbezogene Daten begrenzt, sondern erfasst eben auch ganze informationstechnische Systeme, die einen möglichst umfassenden Datenbestand sichern wollen. Die Beibringung von Daten ist angesichts neuer Möglichkeiten künstlicher Intelligenz noch wesentlich weitreichender als etwa eine bloße Echtzeit-Überwachung von Telekommunikation. Angesichts fortschreitender Digitalisierung der Lebenswelt werden umfassende Rückschlüsse auf das Leben einer Person möglich, bis hin zum Verhalten in der eigenen Wohnung, deren Geräte und Einrichtungen durch informationstechnische Systeme gesteuert werden. Das Grundrecht auf den Schutz personenbezogener Daten geht also über die bloße Selbstbestimmung, was mit den eigenen Daten geschieht, hinaus und wird um das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme erweitert. Gerade diese Systeme bringen neue – und bislang unbekannte – Gefährdungen des allgemeinen Persönlichkeitsrechts mit sich.
Datenminimierung
Daraus folgen verschärfte Anforderungen an tradierte Standards des Datenschutzes. Der Zweck der Datenverarbeitung musste von jeher auf einer klaren und unzweideutigen Rechtsgrundlage ex-ante definiert werden. Datenschutzrechtliche Zweckbindung darf sich im digitalen Zeitalter nunmehr nicht mit Generalklauseln begnügen. Vielmehr ist der Zweck der Datenverarbeitung für die konkret-individuelle Maßnahme verlässlich und für den Bürger vorhersehbar zu bestimmen, lassen sich einmal definierte Zwecke vor allem nicht ex-post verändern. Das Prinzip der Verhältnismäßigkeit gilt in verschärfter Form. Wie schon der Gerichtshof der Europäischen Union in seinem Urteil zur Speicherung von Vorratsdaten argumentiert hat, muss angesichts der Datenmengen, die staatliche und private Datenverarbeitungssysteme speichern, verarbeiten oder an Dritte transferieren, verhindert werden, dass es staatlichen oder privaten Akteuren technisch ermöglicht wird, ein umfassendes Datenprofil der Systemnutzer zu gewinnen. Folglich gilt ein strenges Gebot der Datenminimierung.
Mitbestimmung
Angesichts der Herausforderungen informationstechnischer Systeme an bürgerliche Freiheitsrechte werden weitere Elemente des europäischen Datenschutzrechts bedeutsam. Systemische Informations- und Datenverarbeitung setzt Transparenz gegenüber und Kontrolle durch die Bürgerinnen und Bürger voraus, soll sie im Einklang mit den Erfordernissen eines demokratischen Rechtsstaates stehen. Polizeiliche und justizielle Verfahrensregister sind Teil von Informationssystemen, die mittlerweile – netzwerkartig und über Grenzen hinweg – miteinander verknüpft sind. Der Umfang der darin verarbeiteten Daten ist hoch, der Zugang zu persönlichen Daten sensibel und in den Händen von Behörden auch potenziell grundrechtsgefährdend. Aus den Netzwerken von Informationssystemen aber entsteht Kontrollmacht, die tendenziell geheim und im Verborgenen agiert. Der Ausweg: Zugangsrechte der Betroffenen und eine justiziell wirksame Möglichkeit, über die eigene durch Daten konstituierte Identität mitzubestimmen. Daraus erwachsen europäische Rechte: auf Zugang zur Information, auf Korrektur des Falschen, auf die Unterdrückung des Vergangenen, darauf, Geschehenes vergessen zu machen.
Datenschutz und Strafverfolgung
Gerade im modernen Strafrecht stehen diese Maßstäbe zur Disposition. Das subjektive Recht auf den Schutz persönlicher Daten muss in Relation gesetzt werden zu öffentlicher Sicherheit und zu den Bedürfnissen einer wirksamen Strafverfolgung. Um die Artikulation dieser Bedürfnisse muss man sich kaum sorgen, um die Balance von Freiheit und Sicherheit dagegen schon. Der Zugriff auf persönliche Daten ist im europäischen, gerade auch im luxemburgischen Strafverfahren kontinuierlich enger geworden. Geheime Ermittlungsmethoden, die vorrangig das Geschäft der Exekutive sind, machen es möglich. Terrorismus, Organisierte Kriminalität oder auch Gefahren für fiskalische und finanzielle Interessen sind die Legitimationsvokabeln, mit deren Hilfe sowohl die Telekommunikationsüberwachung (Art. 88-1 und Art. 88-2 CPP) kontinuierlich ausgeweitet als auch die technische Wohnraumüberwachung (Art. 48-13 CPP) oder verdeckte Ermittlungen (Art. 48-17 ff.) gerechtfertigt werden. Was digitale Technologie ermöglicht, findet sich zwangsläufig als Beweis im Strafverfahren wieder: Biometrische Daten und genetische Fingerabdrücke (Art. 48-3 ff. CPP) sollen die Wahrheit ermitteln helfen – umfassend. Was die Exekutive so an Daten und Informationen gewinnt, wird zum Bestandteil von Vorgängen und Akten eines Strafverfahrens. Eine Strafakte enthält unter anderem auch die Summe der durch staatlichen Zugriff gewonnenen persönlichen Daten. Darin enthaltene Vernehmungs- und Überwachungsprotokolle sind der Arbeitsnachweis exekutivischer Ermittlung. Gespeichert in Informationssystemen und vernetzbar mit anderen Systemen der Datenverarbeitung verbleiben diese Daten über den Tag hinaus, entwickeln ein Eigenleben im Dienste strafrechtlicher Sozialkontrolle. Polizeiliche und justizielle Verfahrensregister sind angesichts der Wucht öffentlicher Sicherheitsinteressen daher nur dann legitimierbar, wenn sie zugleich auch das auf die Problemlagen der Digitalisierung zugeschnittene europäische Grundrecht auf Datenschutz wirksam implementieren.
An dieser Aufgabe scheitert bisher der Entwurf über ein zentrales polizeiliches Verfahrensregister. Unabhängig von kritikwürdigen Regelungen im Detail, liegt das eigentliche und grundlegende Problem des Entwurfs in seiner – politisch gewollten – Logik des Institutionenschutzes. Politischer Ausgangspunkt des Vorhabens ist nicht die Verwirklichung des subjektiven Rechts auf Datenschutz, sondern die möglichst weitgehende Bewahrung institutioneller Interessen, auf registrierte Daten flexibel, ad-hoc und breit zugreifen zu können. Ein sowohl innovativer als auch ein die Digitalisierung durch rechtsstaatliche Prinzipien begrenzender Ansatz muss jedoch a priori von den Grundrechten der Bürgerinnen und Bürger ausgehen, Auskunft über gespeicherte Daten verlangen, diese berichtigen oder vollumfänglich löschen lassen zu können. Aus dem subjektiven Recht ergäbe sich dann ein angemessenes datenschutzrechtliches Programm eines polizeilichen – und später justiziellen – Verfahrensregisters.
Dieses Programm müsste in einer klaren und mit Bestimmtheit formulierten Rechtsgrundlage die Zwecke der Datenspeicherung benennen, statt in einer Generalklausel auf den Zweck der Erfüllung polizeilicher Aufgaben zu verweisen. Statt primär den Zugang der Polizeibehörden zu anderen Informationssystemen – darunter die Datenbanken von Kreditinstituten – zu sichern, gelte es, ein justiziell kontrollierbares und wirksames Verfahren zu statuieren, wie der Zugang von Bürgerinnen und Bürgern zu ihren Daten praktisch möglich wird. So sachgerecht die Trennung zwischen aktiven und archivierten Registerdaten auf den ersten Blick erscheint, so zwingend notwendig ist es auch, den Umfang der archivierten Daten wirksam normativ zu begrenzen. Grundsätzlich muss gelten: Nach rechtskräftigem Freispruch oder unanfechtbarer Einstellung des Verfahrens sind persönliche Daten zu löschen. Sofern – ausnahmsweise – Daten für künftige Strafverfahren registriert werden sollen, mag dies nur für bestimmte Personendaten oder die nähere Bezeichnung von Straftaten gelten. Darüber hinaus nur dann, wenn eine evidenzbasierte Prognose den Rückschluss auf das Risiko der weiteren Begehung von Straftaten zuließe.
Die Neuerfindung des Rechtsstaatsprinzips
Der luxemburgische Gesetzgeber – vielleicht die Zivilgesellschaft insgesamt – befindet sich in einem Prozess, eine Kultur demokratischer Transparenz einerseits und des Schutzes individueller Selbstbestimmung gegen die Zumutungen der Digitalisierung andererseits zu generieren. Es ist kein Zufall, dass die Diskussion um polizeiliche und justizielle Verfahrensregister einhergeht mit der Frage, wie mit Whistleblowern und Steuervermeidungsmodellen zu verfahren oder wie es um die Rechte von Abgeordneten bei der Einsicht in vertrauliche Regierungsunterlagen bestellt ist. In all diesen Fällen kommen justiziell abgesicherten, verfassungsrechtlichen Prinzipien eine legitimatorische Funktion zu, die gar eine Art „Strukturwandel der Öffentlichkeit“ vorantreiben mag. Das Rechtsstaatsprinzip muss sich neu erfinden – gerade im Polizei- und Strafrecht. Wir erleben die Genese einer normativen Ordnung des Datenschutzes, die eigene Wege beschreiten muss. Vorbilder gibt es kaum, da auch sie den erweiterten Standards europäischen Datenschutzes mitunter nicht voll gerecht werden. Sofern man aber auf sie zugreift, darf man dabei nicht verschweigen, wenn deren Maßstäbe höher liegen als man suggeriert. In Belgien unterliegt die Registrierung biometrischer Daten und genetischer Profile besonderen Voraussetzungen. Der französische Gesetzgeber statuiert eine grundsätzliche Pflicht, Personendaten bei Freispruch zu löschen. Ausnahmen bestätigen die Regel und bedürfen der Begründung. Eigene Wege entstehen beim Gehen: Sie bedürfen mehr Zeit und öffentlicher Diskussion. Um zu bleiben, wie man ist, muss man manchmal Dinge verändern.
Als partizipative Debattenzeitschrift und Diskussionsplattform, treten wir für den freien Zugang zu unseren Veröffentlichungen ein, sind jedoch als Verein ohne Gewinnzweck (ASBL) auf Unterstützung angewiesen.
Sie können uns auf direktem Wege eine kleine Spende über folgenden Code zukommen lassen, für größere Unterstützung, schauen Sie doch gerne in der passenden Rubrik vorbei. Wir freuen uns über Ihre Spende!
