In der Datenschutzdebatte wird eine Tatsache oft vergessen: Die deutsche Interpretation und Prägung des Datenschutzes fußt vor allem auf der Idee der „informationellen Selbstbestimmung“. Diese setzt voraus, dass Daten, über die man bestimmen möchte, einer Person als Verursacher und Besitzer zuzuordnen sind („Meine Daten gehören mir“). Dies ist jedoch nur selten möglich.
via Flickr: CC-lizensiert von James Cridland
Daten entstehen vor allem bei Kommunikationsvorgängen. Kommunikation basiert auf der Involvierung von mehreren Teilnehmern. Wenn a und b miteinander kommunizieren und darüber Datensätze entstehen – welcher Person sind sie zuzuordnen? In wessen „informationelle Selbstbestimmung“ fallen sie? Hat der Versender einer E-Mail das Recht an ihr oder der Empfänger? Beide? Wenn einer der beiden sorgloser mit diesen Daten umgeht – wie wirkt sich das auf a aus?
Datensätze über mehr als eine Personen können durch die Struktur eines Kommunikationsvorgangs aber auch durch bewusste Entscheidungen entstehen. Wenn Person a auf Facebook schreibt, dass sie mit b, die nicht auf Facebook ist, essen geht – wer hat das informationelle Selbstbestimmungsrecht am Datensatz? Muss b von a und allen anderen Menschen vorab verlangen, nicht mehr in der Netzöffentlichkeit erwähnt zu werden? Hätte a vorab fragen müssen, ob er über b sprechen darf? Wer hat das Recht, die Löschung des Datensatzes zu verlangen?
Das Recht auf informationelle Selbstbestimmung in seiner jetzigen Form ist inkompatibel mit kommunikativen Vorgängen ist. Es kann lediglich Daten schützen, die sich nur auf eine einzelne Person beziehen. Diese Daten sind bei genauerem Hinsehen weniger als angenommen. Die Inkompatibilität lässt digitales Passivrauchen – also die ungewollte Teilnahme an fremdbestimmten Datensätzen – zu einer Tatsache werden. Kommunikation und soziales Leben sind bereits ein Verstoß gegen die informationelle Selbstbestimmung anderer. Weder kann ich je über „meine Daten“ bestimmen (und konnte es auch nie), noch mich bewegen ohne das Schutzrecht anderer zu verletzen.
Und weil es so ist wie Du schreibst, bezieht sich der Objektbereich des Datenschutzes, der das Recht auf informationelle Selbstbestimmung betreut, ja auch auf das Verhältnis von Organisation und Person, das strukturell asymmetrisch ist, mit der Übermacht in der Regel auf Seiten der Organisation, also: der Verwaltung, des Unternehmens, des Providers, des Arbeitgebers. Es geht nicht um die Konditionierung des Kommunikationsverhältnisses auf Augenhöhe zwischen Personen.
Das ist juristisch gut gesprochen, argumentiert aber genau in die Stoßrichtung. Zum einen Sind die Beispiele Verwaltung, Unternehmen, Provider, Arbeitgeber schon fast anachronistisch, zum anderen verkennen sie eben das Problem der nicht eindeutigen Daten. Kommunikationsdaten bei einem Provider (E-Mails), Familienstände in der Verwaltung, usw. Dieses Problem wird – soweit mir bekannt – auch in keiner Vorschrift oder Gesetzesvorlage hinreichend beachtet, wo immer nur von “personenbezogenen Daten” die Rede ist. Person wie in “eine Person”.
ist doch einfach: der Urheber gehört der Datensatz.
“Wenn a und b miteinander kommunizieren und darüber Datensätze entstehen – welcher Person sind sie zuzuordnen?”
was a geschrieben hat zu a, was b geschrieben hat zu b.
“Hat der Versender einer E-Mail das Recht an ihr oder der Empfänger?”
der Urheber also der Sender.
Hier ist es schwieriger:
“Wenn Person a auf Facebook schreibt, dass sie mit b, die nicht auf Facebook ist, essen geht – wer hat das informationelle Selbstbestimmungsrecht am Datensatz?”
Im Prinzip Person a. In der Personenfotografie muss man das Einverständnis des Fotografierten holen…
Das Problem an der Geschichte ist wie man seine Daten löschen kann, bei Twitter z.B. kann man seine Tweets selber löschen (in der Hoffnung das sie nicht in irgendeinem Backup weiterleben). Problematische sind Datensätze bei online-shopping Seiten, vor allen weiß ich nicht was dort gesammelt wird (ich denke nur an den Schoppingvorschlagealgorithmus). Oder noch schlimmer Suchmaschinendaten, wo man bei einer Seite genötigt wird Videoportal, Mail etc. als ein Konto zu führen.
Bei Deinem Beispiel mit dem gemeinsamen Essengehen ist für mich die Antwort ganz eindeutig: A muss von B vorab die Erlaubnis einzuholen, dass er seinen Namen nennen darf. Es für mich sogar fraglich, ob nur die Namensnennung zustimmungspflichtig ist, oder ob es nicht auch schon kritisch wird, wenn aus der Beschreibung der Person bereits auf die Identität geschlossen werden kann (“Bin mit meiner Ex bei Giovanni zum Essen.”).
Folglich hat auch B ein Löschrecht, wenn keine Vorab-Zustimmung eingeholt wurde. Ich würde auch dann ein Löschrecht sehen, wenn B zwar zunächst zugestimmt hat, sich es sich dann aber anders überlegt hat.
Und das gilt unabhängig davon, ob B auch bei Facebook (Twitter, Foursquare, Google+ etc.) ist oder nicht. Nur weil man bei einem Dienst angemeldet ist, bedeutet dies nicht, dass Dritte beliebige Informationen über einen im jeweiligen Dienst verbreiten dürfen.