Gastbeitrag

Die Idee der Selbstregulierung ist gescheitert

Justizministerin Eva Kühne-Hörmann in einem Gastbeitrag in der F.A.Z. vom 23.03.2018

Der einfache Ladendiebstahl wird mit bis zu fünf Jahren Freiheitsstrafe bestraft, die unerlaubte Weitergabe oft hochsensibler persönlicher Daten nur mit bis zu drei. Das muss sich ändern. / Von Eva Kühne-Hörmann

Der Skandal um den Missbrauch von Nutzerdaten in den Vereinigten Staaten ist nicht so weit weg, wie es den Anschein hat. Auch in Deutschland ist das soziale Netzwerk Facebook mit gut 30 Millionen Nutzern der größte Anbieter. Das was wir bisher vom Ausmaß des Skandals wissen, zeigt uns vor allem zwei Dinge: Zum einen, wie wertvoll die von den sozialen Netzwerk gesammelten Daten für die Anbieter sind und zugleich, wie gefährlich diese in den falschen Händen sein können. Der Schutz von Nutzerdaten ist deshalb nicht mehr nur eine Frage der Persönlichkeitsrechte. Die Verhinderung fremdgesteuerten Nutzerverhaltens dient ebenso dem Schutz unserer Demokratie.

Wir brauchen in Deutschland eine digitale Agenda für das Recht, denn es ist Aufgabe der Politik, einen gesetzlichen Rahmen dafür zu schaffen, dass sich solche Praktiken nicht auch in Deutschland durchsetzen. Dazu gehört auch, den Sicherheitsbehörden bessere Möglichkeiten zu geben, wirksamer gegen die Täter vorzugehen.

Das Recht bietet keinen Vollkaskoschutz gegen die Gefahren neuer technologischer Entwicklungen. Es ist aber das wirksamste staatliche Instrument, welches uns im Kampf gegen Datenkriminalität zur Verfügung steht. Damit nicht jeder technische Innovationsschritt das Schutzniveau der Nutzer sinken lässt, müssen wir deshalb dieses Instrument permanent anpassen und schärfen. Die Digitalisierung braucht eine andauernde gesetzgeberische Begleitung, vor allem aber ein echtes strafrechtliches Rückgrat.

Der aktuelle Fall um Facebook ist ein Beispiel dafür, dass unternehmerische Zusicherungen allein nicht nützen. Die Idee der Selbstregulierung ist gescheitert. Der weltweit größte Anbieter eines sozialen Netzwerkes hat zumindest dazu beigetragen, Millionen seiner Nutzer gezielt zu manipulieren. Eigens entwickelte Umfragetools haben die Nutzergruppe erfasst und diese dann, auf welchem Wege auch immer, einem Kunden überlassen. Ziel war es offenbar, Nutzer passgenau mit politischen Werbebotschaften zu versorgen. Die Verteilung der passgenauen Botschaften an die Nutzer übernahm dann wiederum der Betreiber des sozialen Netzwerkes. Das Erfassen der Daten und das auftragsgemäße Verbreiten der Kundeninformation, mithin die Manipulation der eigenen Nutzer ist also zumindest Bestandteil des Geschäftsmodells. Weder bei der Umfrage noch zu einem späteren Zeitpunkt wurden die Betroffenen über den wahren Zweck der Datenerhebung informiert, was die Nutzer von Facebook letztlich zur Handelsware reduziert.

Ob es solche Nutzer-Zielfahndungen auch in Deutschland gegeben hat, wird sich ohne Mitwirkung des Unternehmens schwer nachweisen lassen. Selbst im Verdachtsfalle würden aber auch die strafrechtlichen Ermittlungsmöglichkeiten fehlen, dem Anbieter ein solches Vorgehen nachzuweisen. Dies muss sich ändern. Daten sind die Währung des Informationszeitalters. Warum schützen wir unsere Daten dann nicht mindestens ebenso, wie wir unsere anderen Vermögenswerte schützen? Wer die ihm durch Rechtsgeschäft eingeräumte Befugnis, über fremdes Vermögen zu verfügen missbraucht und dadurch dem Vertragspartner einen Nachteil zufügt, wird mit Freiheitsstrafe bis zu fünf Jahren bestraft. In der analogen Welt des Geldes ist der Sachverhalt klar geregelt. In der Welt der Daten ist dies leider nicht ganz so eindeutig. Zwar ermöglicht die neue EU-Datenschutzverordnung schon weitaus mehr Eingriffs- und Sanktionsmöglichkeiten als das Bundesdatenschutzgesetz bisher zuließ, insbesondere bei der Verhängung empfindlicher Geldstrafen gegen Unternehmen. Im Ergebnis sieht aber auch das angepasste Bundesdatenschutzgesetz, welches am 25. Mai 2018 in Kraft treten wird, für die unbefugte Weitergabe von persönlichen Daten lediglich einen Strafrahmen von bis zu drei Jahren vor. Viel zu wenig, wenn man bedenkt, dass der einfache Ladendiebstahl mit einem Strafrahmen bis zu fünf Jahren ausgestattet ist.

Hinter jedem unternehmerischen Datenschutzverstoß stecken individuelle Entscheidungen, treffen also Verantwortliche die Entscheidung gegen die eigenen Unternehmensrichtlinien oder gegen bestehende Gesetze. Die strafrechtliche Schuld ist also adressierbar und verfolgbar. Um in diesen Fällen aber wirksam ermitteln zu können, sollten solche Verstöße im Strafrahmen den Vermögensvorschriften gleichgestellt werden. Die Untreue von anvertrauten Daten ist gleich der Untreue von anvertrauten Vermögen zu bestrafen. Denn die Sachverhalte sind nicht nur vergleichbar, das Vertrauensverhältnis zum Internetdienstleister ist oftmals intensiver als das zum Vermögensberater. Unseren digitalen Lebensbegleitern vertrauen wir wesentlich mehr persönliche Daten an, als dem Finanzberater. Nicht nur in Form von Emails, Chats, privaten Bildern oder Tagebüchern. Wir nutzen Programme, die uns beim Abnehmen, beim Sport oder beim Kochen unterstützen und über biometrische Schutzsysteme geben wir ganz nebenbei auch diese Daten preis. Auch wenn wir bei Facebook nicht erwarten, unsere Daten zurückzuerhalten, vertrauen wir in der Regel doch darauf, dass sie zumindest nicht personalisiert an Dritte weitergegeben werden. Dieses Vertrauen müssen wir strafrechtlich schützen.

Nun kann man einwenden, was kümmert Einen schon die ein oder andere gezielte Werbung in sozialen Medien? Wenn das Geld verschwunden ist, ist dies doch viel spürbarer. Dem ist mitnichten so. Richtig ist, dass es leichter ist, persönliche Daten zu erzeugen als Geld zu verdienen. Aber der Einfluss der unbefugt weitergegeben Daten auf das tägliche Leben ist mindestens ebenso groß. Viele Unternehmen verwenden diese Daten für ihre Algorithmen zur Kundenbewertung. Wenn die Beiträge zur Krankenversicherung steigen, die Kfz-Versicherung teurer wird, oder Vermieter und potentielle Arbeitgeber einen ablehnen, tritt der Vermögensnachteil auch in diesen Konstellationen ein.

Der Strafrahmen des Bundesdatenschutzgesetzes muss deshalb deutlich erhöht werden. Zudem könnten entsprechende Verstöße der Datenschutzverordnung, respektive des Bundesdatenschutzgesetzes in den Eingriffskatalog der Strafprozessordnung aufgenommen werden. Auch wenn Europa mit der europäischen Datenschutzverordnung sicherlich ein weltweites Vorbild für den Datenschutz ist, wird die Ahndung von Verstößen durch die Ermittlungsbehörden Hausaufgabe der Mitgliedstaaten bleiben. Den Behörden dafür die richtigen Werkzeuge in die Hand zu geben und die Anpassung des Rechts an die Herausforderungen der digitalen Welt als Daueraufgabe zu verstehen, ist die große Herausforderung der Rechtspolitik. Dieser muss sich die Politik stellen. Nicht nur zum Schutz der Nutzerinnen und Nutzer, sondern auch zum Schutz unserer Demokratie als Ganzes.

Eva Kühne-Hörmann (CDU) ist Justizministerin des Landes Hessen.

© Alle Rechte vorbehalten. Frankfurter Allgemeine Zeitung GmbH, Frankfurt. Zur Verfügung gestellt vom Frankfurter Allgemeine Archiv.

Schließen