F 4 Datenschutz und Informationsfreiheit - Johannes Caspar - De Gruyter

Die Seite wird erstellt Dustin Schulze
 
WEITER LESEN
Johannes Caspar
F 4 Datenschutz und Informationsfreiheit
1 Einleitung: Der Umgang mit Daten als Meta-Thema
Daten sind der Treibstoff der Informationsgesellschaft. Sie sind zentrale Steuerungsres-
sourcen für Wirtschaft und Verwaltung und treiben die Algorithmen an, die die digitale
Welt lenken. Darüber hinaus ist der Umgang mit Daten in der öffentlichen Verwaltung
entscheidend für die demokratische Willensbildung. Nicht nur in Zeiten von Meinungs-
manipulationen und Falschmeldung ist das Recht auf Zugang zu öffentlichen Informa-
tionen eine Säule des digitalen Rechtsstaats.
      Die häufig gezogene Parallele von Daten zu Öl oder Gold trifft zu, soweit die Nutzen-
dimension und die Begehrlichkeit von Daten betroffen sind: Persönliche Daten werden
gesammelt, vermessen, zu Profilen verdichtet und automatisiert ausgewertet. Zur Opti-
mierung sozialer, ökonomischer oder politischer Steuerung kennt die digitale Ausbeu-
tung häufig keine Grenzen.
      In einem zentralen Punkt jedoch ist diese Analogie falsch: Unsere persönlichen Da-
ten sind höchstpersönliche Informationen über uns selbst. Sie sind die Verzeichnisse un-
serer Persönlichkeit und keine quantifizierbaren Ressourcen. Sie betreffen unsere sozia-
len Kontakte und Vorlieben, unsere Gesundheit, die sexuelle Ausrichtung, die politische
Anschauung oder die Orte, die wir virtuell oder analog besuchen. Sie begleiten uns auf
unseren Weg durch die digitale Welt und bestimmen unsere Chancen im Leben. Von der
Bewerbung auf eine Arbeitsstelle, über den Hauskredit, den Handyvertrag bis hin zur
Partnersuche sind die Daten über uns bestimmende Faktoren.
      Der gesellschaftlich verantwortliche Umgang mit Daten, insbesondere durch den
Einsatz von künstlicher Intelligenz, ist ein Jahrhundertthema durchaus vergleichbar mit
dem Klimaschutz, wo als Bedrohungsszenarien, die digitale, die körperliche und die po-
litische Sicherheit genannt werden. (Brundage et al. 2017, S. 9) In der gesellschaftlichen
Wahrnehmung ist es heute jedoch mitunter fahrlässig unterbelichtet. Waren die Volks-
zählung im Jahre 1983 (s. Abschnitt 3) und die Auseinandersetzung um den Panoramadi-
enst Google Street View vor 12 Jahren (Dreier & Spiecker 2010) noch politische und sozia-
le Fanale über die Reichweite und Grenzen der Privatsphäre, bleibt das Thema des Um-
gangs mit persönlichen Daten derzeit eher auf interessierte Fachkreise beschränkt und
führt ein Schattendasein im gesellschaftlichen und politischen Diskurs. Digitales verengt
sich darin auf die technische Machbarkeit und auf einen Innovations- und Fortschritts-
begriff, der einseitig auf Effizienzgewinne fokussiert. Normativ-kritische Ansätze werden
mitunter ausgeblendet.
      Wie wir mit Daten umgehen, ist zweifellos ein Metathema, das jeder inhaltlichen
Diskussion vorausliegt. Kommunikation und Information als zentrale Strukturen von de-
mokratischer Teilhabe sind heute abhängig von Macht- und Missbrauchspotentialen glo-
baler digitaler Plattformen und von deren Datenbasis. Global operierende Tech-Firmen
sind längst zu Überstaaten geworden, deren Machtbereiche über nationale Grenzen hin-
ausreichen und Einfluss auf Regierungen nehmen. Der massenhafte Zugang zu perso-
nenbezogenen Daten verschafft den Betreibern die Steuerungsgewalt über Inhalte, The-
men und Meinungen bis hin zum Einfluss auf demokratische Entscheidungen. Staaten
und Wirtschaftsunternehmen, allen voran globale Big-Tech-Firmen, versuchen, ihre Da-
tenmacht immer weiter auszudehnen. Das geschieht gefragt oder ungefragt, offen oder

  Open Access. © 2023 Johannes Caspar, publiziert von De Gruyter.   Dieses Werk ist lizenziert unter
der Creative Commons Attribution 4.0 International Lizenz.
https://doi.org/10.1515/9783110769043-068
804  F 4: Johannes Caspar

heimlich, legal oder illegal. Daten sind die Verheißung für mehr Sicherheit und Kontrol-
le, mehr Gesundheit, mehr Wohlstand und schließlich auch der Schlüssel zum politi-
schen Erfolg. Die Regulierung des Umgangs mit Informationen hat daher im Zuge der
Entwicklung digitaler Technologien und der Ökonomisierung von personenbezogenen
Daten eine eminente Bedeutung erlangt.1

2 Vom Hessischen Landesdatenschutzgesetz zur EU-Daten-
  schutzgrundverordnung – Historische Etappen des Daten-
  schutzrechts
Das Datenschutzrecht hat vor nicht langer Zeit seinen 50. Geburtstag gefeiert. Das erste
Datenschutzgesetz, nicht nur in Deutschland, sondern weltweit, wurde in Hessen An-
fang der 1970er Jahre durch den Landesgesetzgeber erlassen.2 Das Gesetz bezog sich auf
die damals in den Anfängen begriffene maschinelle Datenverarbeitung, die zusehends
in die Verwaltung, insbesondere in die Sozial- und Steuerverwaltung, einzog. Es richtete
sich an öffentliche Stellen des Landes und sah bereits rudimentäre Rechte vor, wie das
Recht auf Berichtigung und Wiederherstellung des vorherigen Zustands von Daten und
auf Unterlassung der Verarbeitung. Technische und organisatorische Maßnahmen, die
Pflichten für Verarbeitende vorsahen, wie auch die Anrufung einer weisungsfreien Stel-
le – Beauftragte für Datenschutz – waren darin bereits geregelt.
     Es sollte von da ab noch fast sieben Jahre dauern, bis – nachdem auch andere Bun-
desländer entsprechende Regelungen erlassen hatten – das erste Bundesdatenschutzge-
setz verabschiedet wurde. Das Gesetz zum Schutz vor dem Missbrauch personenbezoge-
ner Daten bei der Datenverarbeitung (BDSG)3 war durchaus fortschrittlich und auf der
Höhe der Zeit: Es sah den Schutz von personenbezogenen Daten nicht nur gegenüber
der Verwaltung, sondern auch gegenüber privaten, natürlichen und juristischen Perso-
nen vor. Es sollte jedoch noch viele weitere Jahre dauern, bis sich in der Masse die Be-
schwerden von Bürger*innen gegen die Datenverarbeitung gerade von privaten Stellen
richteten und der Datenschutz den zentralen Anwendungsbereich im alltäglichen ge-
schäftlichen Leben einnehmen würde. In den ersten Jahrzehnten war das Datenschutz-
recht ein Bürgerrecht zunächst und in erster Linie gegen den Staat gerichtet, der die Da-
ten der Bürger*innen für seine Verwaltungszwecke speicherte. Das betraf sowohl die
leistende Verwaltung wie auch den Bereich der Eingriffsverwaltung.

3 Das Volkszählungsurteil als Kristallisationspunkt für den
  modernen Datenschutz
Eine Zäsur für den Datenschutz in Deutschland mit erheblichen Auswirkungen auf die
Rechtsentwicklung in Europa brachte die Anerkennung des Datenschutzes als Grund-

1 Hierzu näher (Caspar 2023).
2 Hess. GVBl. vom 7.10. 1970, S. 625.
3 BGBl. vom 1. Februar 1977, S. 201.
F 4: Datenschutz und Informationsfreiheit    805

recht durch ein Grundsatzurteil des Bundesverfassungsgerichts im Zuge mehrerer Ver-
fassungsbeschwerden gegen das Volkszählungsgesetz von 1982.4
     Die damals angeordnete Datenerhebung über eine Volks- Berufs-, Wohnungs- und
Arbeitsstättenzählung hatte in der Bevölkerung erhebliche Ängste und Befürchtungen
ausgelöst. Das lag einerseits an der symbolischen Nähe zum George-Orwell-Jahr 1984.
Die in der gleichnamigen Romanvorlage aufgezeigte Dystopie eines totalitären Überwa-
chungsstaates, der seine Bürger*innen auf Schritt und Tritt verfolgte, war gerade über
die jüngere deutsche Geschichte noch im kollektiven Bewusstsein der Menschen veran-
kert und in Gestalt der SED-Diktatur im anderen Teil Deutschlands für die Menschen im
Westen jederzeit greifbar.
     Gleichzeitig wurde der massive Ausbau staatlicher Eingriffsinstrumente zur Be-
kämpfung des Terrorismus der Roten Armee Fraktion in den 1970er Jahren in der Bun-
desrepublik bei vielen Menschen kritisch gesehen. Gerade die sog. Rasterfahndung, ein
Verfahren, bei dem ein automatisierter Massendatenabgleich unter Verwendung der Da-
ten völlig unbeteiligter Personen erfolgte, schürte in der Bevölkerung Ängste vor dem
Heraufziehen einer unkontrollierten und umfassenden staatlichen Überwachung. Über-
dies war die Verwaltung bereits erkennbar im technischen Wandel zur elektronischen
Datenverarbeitung begriffen und in eine tiefgreifende Phase der Digitalisierung eingetre-
ten, die bis heute andauert. Die besondere Sensibilität gegen eine unkontrollierte Per-
sönlichkeitserfassung und Profilbildung vor dem Hintergrund der Möglichkeit von Fach-
behörden, über automatisierte Zugriffe auf Datenbanken persönliche Daten abrufen zu
können, ließ daher den Ruf nach mehr Schutz und Kontrolle staatlicher Datenverarbei-
tung laut werden.
     In dieser Situation führte das staatliche Vorhaben der Volkszählung zu massiven
Protesten und Boykotten bundesweit. Die Verfassungsbeschwerde mehrerer Bürger*in-
nen gegen das Volkszählungsgesetz sollte die noch jungen Diskussionen um das Recht
auf Datenschutz entscheidend beeinflussen.
     In einem Grundsatzurteil hob das Bundesverfassungsgericht ein neues Grundrecht
aus der Taufe: das informationelle Selbstbestimmungsrecht, welches das Gericht aus
den beiden Grundrechten des allgemeinen Persönlichkeitsrechts und der Menschenwür-
de ableitete. „Unter den Bedingungen der modernen Datenverarbeitung“, so das Bun-
desverfassungsgericht, müsse es ein Recht des Einzelnen gegen eine unbegrenzte Daten-
verarbeitung geben. „Die informationelle Selbstbestimmung gewährleistet insoweit die
Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner
persönlichen Daten zu bestimmen“5 Dieses Grundrecht war fortan Maßstab für das Da-
tenschutzrecht und die Datenverarbeitung vor Ort.
     Das neue Grundrecht galt freilich auch für das Bundesverfassungsgericht nicht
schrankenlos. Im gleichen Atemzuge wieß es darauf hin, dass das neue Grundrecht dem
einzelnen Menschen kein Recht auf eine absolute uneingeschränkte Herrschaft über
„seine“ Daten vermittele.6 Schließlich sei der Mensch eine auf Kommunikation angewie-
sene Persönlichkeit. Auch personenbezogene Informationen stünden daher in einem Ge-
meinschaftsbezug. Eine Einschränkung des Grundrechts auf informationelle Selbstbe-
stimmung müsse daher im überwiegenden Allgemeininteresse und unter Beachtung des
Grundsatzes der Verhältnismäßigkeit hingenommen werden.

4 Gesetz vom 25. März 1982 (BGBl. I S. 369).
5 BVerfG 1 BvR 209/8, Leitsatz 1.
6 BVerfG 1 BvR 209/83, Rn 106.
806  F 4: Johannes Caspar

    Der Richterspruch leitete ein neues Grundrecht aus dem Zusammenspiel zwischen
Menschenwürde und allgemeinen Persönlichkeitsrecht in richterlicher Rechtsfortbildung
aus Art. 1 Abs. 1 und Art. 2 Abs. GG ab, das für die zukünftige Entwicklung des Daten-
schutzes der Dreh- und Angelpunkt wurde. In den kommenden Jahrzehnten sollte sich
das Grundrecht als wesentliches Korrektiv gegenüber dem Gesetzgeber entwickeln und
zum rechtsstaatlichen Fallbeil für unverhältnismäßige und pauschale Eingriffe in den
Schutzbereich der persönlichen Daten gerade auf dem Sektor der Sicherheitsgesetzge-
bung werden.

4 Der Siegeszug des informationellen Selbstbestimmungs-
  rechts
Die Folgen des Urteils waren weitreichend. Gesetze zu Verarbeitung von personenbezo-
genen Daten wie auch exekutive Eingriffe waren künftig an diesem Grundrecht zu mes-
sen. Belange der inneren Sicherheit, selbst Regelungen und Maßnahmen im Kampf ge-
gen Terrorismus, gaben und geben dem Gesetzgeber keine generelle Legitimation zur
Überwachung der Menschen. Mit dem Grundrecht der informationellen Selbstbestim-
mung war ein Rechtsstaatsfilter geschaffen, der alle staatlichen Maßnahmen dem Ver-
hältnismäßigkeitsgebot unterwirft.
     In den Jahrzehnten danach hat das Bundesverfassungsgericht das Grundrecht gegen
staatliche Sicherheits- und Überwachungsgesetze in zahllosen Urteilen immer wieder zu-
gunsten der Rechte von Bürger*innen ausgebaut und den Gesetzgeber korrigiert.7
     Längst ist bei der Verabschiedung immer neuer Sicherheitsgesetze durch Parlament
und Regierung der Gang nach Karlsruhe eingepreist. Die Automatik, im Bereich der in-
formationellen Selbstbestimmung immer neue Regelungen auf den Weg zu bringen, bei
denen dann Korrekturen durch das Bundesverfassungsgericht an der Tagesordnung
sind, ist rechtsstaatlich sehr bedenklich. Wenn der Verfassungsverstoß zum gesetzgebe-
rischen Normalfall wird, läuft etwas Grundsätzliches schief. Im Verfassungsstaat müssen
innere Sicherheit und das Recht auf informationelle Selbstbestimmung sowie andere im
Kontext der Digitalisierung die Privatsphäre absichernde Grundrechte, wie das Telekom-
munikationsgeheimnis oder die Unverletzlichkeit der Wohnung, bereits bei der Gesetz-
gebung zu einem angemessenen Ausgleich gebracht werden. Dazu können gesetzliche
Evaluationspflichten beitragen, die zu einer umfassenden Untersuchung über Folgen
von Sicherheitsgesetzen für Individuum und Gesellschaft verpflichten. Zielerreichung,
Eingriffstiefe und die Ausgewogenheit der gesetzlichen Maßnahme müssen stets gege-
ben sein. Das Bundesverfassungsgericht hat darüber hinaus bereits vor vielen Jahren
deutlich gemacht, dass eine staatliche Rundumüberwachung verfassungsrechtlich stets
unzulässig sei.8 Aufgrund der vielen neuen digital-technologischen Überwachungsmög-
lichkeiten wird seit Jahren die Forderung erhoben, nicht nur konkrete Gesetze isoliert
auf den Prüfstand zu stellen, sondern im Sinne einer Überwachungsgesamtrechnung die

7 Hier beispielhaft einige Urteile aus der jüngsten Zeit: Die Urteile über die Anforderungen für den Aus-
tausch von Daten zwischen Polizeibehörden und Nachrichtendiensten (Antiterrordatei I und II; 1 BvR 1215/
07; 1 BvR 3214/15), das Urteil zum BKA-Gesetz (1 BvR 3214/15), das Urteil zur Bestandsdatenauskunft I
(BVerfGE 130, 151) und II (1 BvR 1873/13) sowie das Urteil zur erweiterten Datennutzung „Data Mining“
(1 BvR 3214/15).
8 BVerfG 2BvR 581/01, Rn. 60 vom 12. April 2005.
F 4: Datenschutz und Informationsfreiheit          807

additive Wirkung der Überwachungsgesetze und ihre Auswirkungen in den Blick zu neh-
men (Roßnagel 2010, S. 1238).9

5 Das Grundrecht der Integrität und Vertraulichkeit informa-
  tionstechnischer Systeme
Das Grundrecht auf informationelle Selbstbestimmung war in der Vergangenheit durch
das BVerfG selbst Gegenstand der Fortentwicklung. In seinem Urteil gegen die sog. On-
line-Durchsuchung ging es um das heimliche Scannen des persönlichen Endgeräts mit
Hilfe eines von den Sicherheitsbehörden infiltrierten Computerprogramms. Hier sah das
Gericht eine bedenkliche Rechtsschutzlücke: Weder das Telekommunikationsgeheimnis
noch die Unverletzlichkeit der Wohnung oder die informationelle Selbstbestimmung bie-
ten hiergegen einen hinreichenden Schutz. Insbesondere geht die heimliche Infiltration
eines informationstechnischen Systems nach Auffassung des Bundesverfassungsgerichts
weit über einzelne Datenerhebungen hinaus, vor denen das informationelle Selbstbe-
stimmungsrecht schützt. Ein solcher Zugriff auf das informationstechnische System ins-
gesamt betreffe nicht nur einzelne Kommunikationsvorgänge, sondern die gesamte in-
formationstechnische Leistung eines Geräts.
     Das BVerfG hat daher die Lücke für derartige staatliche Eingriffe geschlossen und
aus dem allgemeinen Persönlichkeitsrecht das Grundrecht auf Integrität und Vertrau-
lichkeit informationstechnischer Systeme abgeleitet. Das Einschleusen von Staatstroja-
nern, durch das die Nutzung des Systems überwacht und ausgelesen werden kann, ist
somit als grundrechtlicher Eingriff an den Grundsatz der Verhältnismäßigkeit, die Nor-
menbestimmtheit sowie die Normenklarheit gebunden und setzt für seine Legitimierung
ein überragend wichtiges Schutzgut voraus.10

6 Entwicklungsstufen des Datenschutzes in Europa
Daten sind flüchtig, sie reisen mit Lichtgeschwindigkeit um die Erde und machen an kei-
ner Grenze halt. Sie sind im Internet jederzeit grundsätzlich durch jeden überall abruf-
bar. In Die Daten gelangen allerdings zunächst ineinen jeweiligen Staat, der sie mögli-
cherweise dann zensiert und blockiert. Ein Schutz der Betroffenen vor einer unzulässi-
gen Datenverarbeitung ist daher allein durch nationale Regelungen nicht angemessen
herstellbar. Es gab daher sehr früh auch Bestrebungen, den Datenschutz auf europäi-
scher Ebene einheitlich zu regeln.

6.1 Europarat

Die Europäische Menschenrechtskonvention (EMRK) ist ein völkerrechtlicher Vertrag des
Europarats, der seit 1953 in Kraft ist. Art. 8 der Europäischen Menschenrechtskonvention

9 Aktuell dazu etwa BT-Drs. 19/23695 vom 27.10.2020, Freiheit und Sicherheit schützen – Für eine Über-
wachungsgesamtrechnung statt weiterer Einschränkungen der Bürgerrechte.
10 BVerfG1 BvR 370/07 vom 27. Februar 2008.
808  F 4: Johannes Caspar

schützt die Privatsphäre in den 46 Mitgliedstaaten. Als europäische internationale Orga-
nisation für Menschenrechte, Rechtsstaatlichkeit und Demokratie darf diese Institution
nicht mit dem Europäischen Rat als eine EU-Institution verwechselt werden, der die Re-
gierungschefs aller EU-Mitgliedstaaten angehören.
     Am 28. Januar 1981 wurde von den Mitgliedstaaten des Europarats die Europäische
Datenschutzkonvention unterzeichnet.11Sie trat am 1. Oktober 1985 in Kraft. Das völker-
rechtliche Übereinkommen zum Schutz des Menschen bei der automatischen Verarbei-
tung personenbezogener Daten (Konvention 108) des Europarats zielt darauf ab, über-
greifende, rechtlich verbindliche Garantien zu schaffen, die den einzelnen Menschen vor
einem Missbrauch seiner Daten schützen. Gleichzeitig regelt sie einheitlich den grenz-
überschreitenden Datenverkehr.
     Für die Einhaltung der Europäische Menschenrechtskonvention ist der Europäische
Gerichtshof für Menschenrechte zuständig. Bürger*innen können sich vor diesem Ge-
richt gegen die Einschränkungen ihrer Rechte durch die Mitgliedsstaaten wenden. Die
Entscheidungen im Bereich des Datenschutzes nach Art. 8 EMRK sind vielgestaltig. Sie
reichen über Fälle zur Sammlung von Gesundheitsdaten durch staatliche Einrichtungen,
Tätigkeiten von Geheimdiensten und Telefonüberwachungen bis hin zum Kampf gegen
den Terrorismus.12

6.2 Europäische Union

Schon vor Vereinbarung der Konvention des Europarats gab es im Rahmen der Europäi-
schen Union ab 1975 wiederholt Forderungen des europäischen Parlaments an die EU-
Kommission, eine Richtlinie zum „Schutz der Freiheit des Einzelnen und die Datenverar-
beitung“ zu verabschieden. Ziel war es sicherzustellen, dass die Unionsbürger*innen ei-
nen einheitlichen Schutz vor missbräuchlicher Datenverarbeitung im einheitlichen Bin-
nenmarkt erhalten.13
     Es sollte jedoch noch ganze 20 Jahre dauern, bis in der EU die Richtlinie 95/46/EG
des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr in Kraft
trat. Mit dieser Richtlinie verpflichteten sich die Mitgliedstaaten, in ihre Rechtsordnun-
gen Vorschriften zu implementieren, die ein Mindestmaß zum Schutz personenbezoge-
ner Daten für natürliche Personen gewährleisten.14 Das war nicht unproblematisch. Zum
einen erfolgte gerade in Deutschland die Umsetzung zeitlich erheblich verzögert: Die
EU-Datenschutzrichtlinie wurde erst durch die Novelle des Bundesdatenschutzgesetzes
vom 18. Mai 2001 angepasst15 und lag daher erheblich außerhalb des Rahmens der drei-
jährigen Umsetzungsfrist. Zum anderen erwies sich die nationale Umsetzung inhaltlich
als defizitär, da den unabhängigen Stellen, die für die Überwachung des Datenschutzes

11 https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108?module=treaty-detail&-
treatynum=108.
12 Hierzu das umfassende Factsheet zur Rechtsprechung des EGMR https://www.echr.coe.int/Docu-
ments/FS_Data_eng.pdf.
13 Entschließung des EU-Parlaments zum Schutz des Rechts des Einzelnen angesichts fortschreitender
technischer Entwicklungen auf dem Gebiet der automatischen Datenverarbeitung, ABl. C 60/48 vom
13.3.1975.
14 Richtlinie 95/46/EG Abl. 281 vom 23. November 1995, S. 31–50.
15 s. die Gesetzesbegründung in BT Drucks. 14/4329 vom 13. Oktober 2000.
F 4: Datenschutz und Informationsfreiheit    809

durch die Vorschriften des EU-Rechts vorgesehen waren, nicht die geforderte völlige Un-
abhängigkeit eingeräumt wurde. Stattdessen waren viele Datenschutzaufsichtsbehörden
in den Ländern für den Bereich der Kontrolle privater Stellen den jeweiligen Landesmi-
nisterien untergeordnet und standen unter deren Aufsicht. Ein gegen Deutschland einge-
leitetes EU-Vertragsverletzungsverfahren endete im Jahr 2010 mit dem Ergebnis, dass
der EuGH Deutschland verurteilte, die Regelungen für eine unabhängige Datenschutz-
aufsicht national umzusetzen.16
     Eine besondere Bedeutung kommt dem Datenschutz als Europäisches Grundrecht in
der EU zu. Mit der im Jahr 2000 unterzeichneten Grundrechtecharta der Europäischen
Union wird der Bereich der informationellen Integrität in zwei Bestimmungen geregelt:
Art 8 garantiert das Recht jeder Person auf den Schutz der sie betreffenden Daten. Paral-
lel dazu wird in Art. 7 das Recht auf die Achtung ihres Privat- und Familienlebens, ihrer
Wohnung sowie ihrer Kommunikation festgeschrieben. Diese Bestimmung entspricht
der Regelung in Art. 8 EMRK.
     Schrittmacher und Hüter des Datenschutzes ist für den Bereich der Europäischen
Union der Europäische Gerichtshof. In der Vergangenheit hat er durch seine Urteile im
Bereich des Datenschutzes wichtige und unmittelbar geltende Vorgaben für die Union
und die Mitgliedstaaten formuliert und damit tiefgreifend auf die rechtliche Praxis des
Umgangs mit Daten nicht nur von öffentlichen, sondern auch privaten Stellen Einfluss
genommen. Darin ging es u. a. um die vollständige Unabhängigkeit der Datenschutzauf-
sichtsbehörden,17 die Videoüberwachung durch private Stellen,18 die Vorratsdatenspei-
cherung von Telekommunikationsdaten,19 das Recht auf Vergessenwerden gegenüber
Suchmaschinen,20 die Zulässigkeit des Datentransfers in die USA und den internationa-
len Datenverkehr21 und um das Tracking im Netz und die Cookie-Einwilligung.22

6.3 Die EU-Datenschutzgrundverordnung – Meilenstein zum Schutz im
    digitalen Zeitalter

Die Erfahrungen in der EU mit der Richtlinie 95/46 EG waren durchaus negativ. Zum ei-
nen erwies sich das mitgliedstaatliche Umsetzungserfordernis als schwierig für einen
harmonisierten Rechtsrahmen des Datenschutzes: Die Richtlinie führte zu verschiedenen
Ansätzen in den einzelnen Mitgliedstaaten und zu einer Zersplitterung der rechtlichen
Vorgaben. Da Daten in der digitalen Welt ein ebenso volatiles wie ökonomisch immer
wichtiger werdendes Rechtsgut sind, wurde schließlich erwogen, eine EU-Verordnung
als unmittelbar verbindliches Rechtsinstrument für alle Mitgliedstaaten zu schaffen.
     Anfang 2012 legte die damalige EU-Justizkommissarin Viviane Reding einen einheit-
lichen Entwurf der Datenschutzgrundverordnung vor. Mit Blick auf die Datenschutz-
richtlinie 95/46 stellte sie fest: „Vor 17 Jahren nutzten weniger als 1 % der Bevölkerung
das Internet. Heute werden große Mengen an personenbezogenen Daten übermittelt und

16   EuGH   C-614/10.
17   EuGH   C-518/17; C-614/10; C-288/12.
18   EuGH   C-212/13.
19   EuGH   C-746/18; C-203/15; C-698/15; C-293/12.
20   EuGH   C- 131/12/C-136/17; C-507/17.
21   EuGH   C-362/14; C-311/18.
22   EuGH   C-673/17.
810  F 4: Johannes Caspar

ausgetauscht, über den gesamten Globus – innerhalb von Bruchteilen von Sekunden.“23
Tatsächlich hatte sich die Situation durch die technologische Entwicklung wesentlich
verändert: Bei Inkrafttreten der Richtlinie 1995 war Mark Zuckerberg, der Gründer von
Facebook, 11 Jahre alt und die Suchmaschine von Google sollte noch zwei Jahre benöti-
gen, um Online zu gehen.
     In der digitalen Welt ergaben sich in der Folgezeit völlig neue Geschäftsmodelle, die
seither in einer beispiellosen Weise die Privatsphäre von Millionen von Nutzenden als
wirtschaftliche Ressource ausbeuten. Im Zuge immer schwerwiegenderer Verstöße gegen
Datenschutzbestimmungen durch globale Unternehmen erwies sich: Die Höchstsumme
für ein Bußgeld mit 300 000 Euro, die damals für die Aufsichtsbehörden nach dem Bun-
desdatenschutz maximal zu verhängen war, konnte von den großen Internetportalen so-
zusagen aus der Portokasse bezahlt werden und war nicht mehr zeitgemäß.
     Das Gesetzgebungsverfahren für das Projekt einer unmittelbar geltenden einheitli-
chen Datenschutzregelung in Europa wurde durch eine Lobbyschlacht begleitet, die zäh
und intensiv über Jahre hinweg geführt wurde.24 Erst im Jahre 2016 wurde die EU-Daten-
schutzgrundverordnung (EU) 2016/679 verabschiedet.25 Ihre Geltung erlangte sie dann
erst zwei Jahre nach ihrem Inkrafttreten am 25. Mai 2018.
     Parallel zu dieser Bestimmung verabschiedete der EU-Gesetzgeber die sogenannte
JI-Richtlinie,26 die den Bereich der Gefahrenabwehr und der Straftatenverfolgung zum
Gegenstand hat. Der Regelungskomplex betrifft einen für Bürger*innen besonders ein-
griffssensiblen Bereich, deren Adressaten insbesondere Polizei und Staatsanwaltschaft
sind. Hier geht es um Vorgaben für Regelungen der staatlichen Überwachung, etwa
durch Maßnahmen der Videoüberwachung oder der biometrischen Datenverarbeitung
durch Gesichtserkennung. Im Gegensatz zu einer Verordnung, mit der die Datenschutz-
Grundverordnung (DSGVO) erlassen wurde, hatten die Gesetzgeber in den Mitgliedstaa-
ten und in der Bundesrepublik, die Bundesländer und der Bund, jeweils eigene Gesetze
zur Umsetzung dieser Richtlinie zu erlassen.

6.4 Grundzüge der DSGVO

Die DSGVO bringt für den Bereich des Datenschutzes einen einheitlichen Rahmen, der
innerhalb der EU für alle Mitgliedstaaten unmittelbar verbindlich ist. Darüber hinaus
gelten die Bestimmungen über das EWR-Abkommen auch für die Staaten des Europäi-
schen Wirtschaftsraumes, Norwegen, Island und Liechtenstein. Damit sind insgesamt 30
europäische Staaten mit insgesamt über 450 Millionen Einwohnern in den Schutzbereich
der DSGVO einbezogen.

23 https://www.telemedicus.info/eu-datenschutz-reding-stellt-entwurf-fuer-verordnung-vor/.
24 Der Film Democracy – Im Rausch der Daten von David Bernet dokumentiert die Entstehung der Daten-
schutzgrundverordnung anhand der Porträts des damaligen Berichterstatters des Europäischen Parla-
ments, Jan Philipp Albrecht, und der damaligen Justizkommissarin Viviane Reding und wirft einen span-
nenden Blick hinter die Kulissen eines der brisantesten Rechtssetzungsprojekte des letzten Jahrzehnts.
25 ABl.L119 vom 4.5.2016.
26 Richtlinie 2016/680 des Europäischen Parlaments und des Rats vom 27. April 2016 L 119/89 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum
Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung
sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates.
F 4: Datenschutz und Informationsfreiheit      811

     Die Bedeutung der DSGVO reicht weit über die interne Geltung hinaus: Sie betrifft
nicht nur die Verarbeitung von personenbezogenen Daten innerhalb der EU, sondern
gilt auch für verarbeitende Unternehmen außerhalb Europas, soweit diese Waren oder
Dienstleistungen an Personen in der EU anbieten. Dieses sog. Marktort-Prinzip stellt si-
cher, dass keine Schutzlücke gegenüber Unternehmen aus Drittstaaten besteht. In der
Praxis setzt die DSGVO damit globale Standards, die weltweit Beachtung finden.
     Darüber hinaus hat die DSGVO die Funktion, die Daten von Menschen in der EU
auch bei Datentransfers in Drittstaaten zu schützen. So sieht sie grundsätzlich vor, dass
im Datenverkehr mit Unternehmen außerhalb der EU ein angemessenes Datenschutzni-
veau als Wirksamkeitsvoraussetzung für die Datenübermittlung eingehalten werden
muss. 2013 hatte Richard Snowden, ein ehemaliger US-Geheimdienstmitarbeiter, mit sei-
nen Enthüllungen über die massenhafte Überwachung durch die NSA und anderer be-
freundeter Geheimdienste weltweit für Entrüstung und einen Aufschrei gesorgt. Vor die-
sem Hintergrund entschied der EuGH in zwei spektakulären Urteilen, dass ein entspre-
chender Schutz für die Daten aus der EU in den USA nicht bestehe und dass ein
Datentransfer dorthin nur unter besonderen Schutzvorkehrungen in Betracht komme.27
     Die DSGVO enthält für Personen in der EU sog. Betroffenenrechte, die Konkretisie-
rungen des Grundrechts des Datenschutzes bzw. der informationellen Selbstbestimmung
sind. Hierzu zählen das Recht auf Information und das Recht auf Auskunft sowie das
Recht auf Transparenz (Art. 12–15 DSGVO), die Rechte auf Löschung, Berichtigung und
Einschränkung der Verarbeitung (Art. 16–18), das Recht auf Datenübertragbarkeit (Art.
20), das Recht auf Widerspruch (Art. 21) und das Recht, nicht einer automatisierten Ent-
scheidung im Einzelfall einschließlich Profiling unterworfen zu sein (Art. 22).
     Neben diesen subjektiven Rechten für die Betroffenen sind in der DSGVO zahlreiche
Verpflichtungen für Datenverarbeiter enthalten. Zentral sind die Bestimmungen über die
Sicherheit der Verarbeitung (Art. 32–34) und über Privacy by Design und Privacy by De-
fault (Art. 25) sowie über die Durchführung von Datenschutzfolgeabschätzungen. Gerade
die technische Ausgestaltung informationstechnischer Systeme ist für den Schutz von
Betroffenen ganz entscheidend und sollte bereits zum Zeitpunkt der Entwicklung von
Softwarelösungen berücksichtigt werden.
     Besondere Bestimmungen gelten im Bereich der Sanktionsbefugnisse der Aufsichts-
behörden. Diese haben durch die DSGVO das Recht, Bußgelder bis zu 20 Millionen Euro
zu verhängen oder in Höhe von bis zu 4 % des jährlichen Umsatzes auszusprechen. Maß-
stab hierfür ist der Gesamtumsatz des Konzerns weltweit, so dass sehr hohe Summen
zustande kommen können, wie das bisherige Rekordbußgeld in Höhe von 746 Millionen
Euro gegenüber Amazon zeigt.28
     Deutliche Defizite weist das Verfahren des Rechtsvollzugs in der DSGVO auf. Hier ist
bei grenzüberschreitender Datenverarbeitung, bei der Personen in verschiedenen Mit-
gliedstaaten betroffen sind, das sog. One-Stop-Verfahren vorgesehen. Danach ist die
Aufsichtsbehörde am Hauptsitz der verantwortlichen Stelle für deren gesamte Aktivitä-
ten in der EU zuständig. Das führt dazu, dass Unternehmen es selbst in der Hand haben,
durch die Wahl ihrer Hauptniederlassung die für sie zuständige Aufsichtsbehörde auszu-
wählen. In der Folge hat dies in der Kombination mit den dortigen steuerlichen Vorzü-
gen dazu geführt, dass die meisten globalen Big-Tech-Unternehmen ihre Hauptnieder-
lassung in Irland haben. Die dortige Aufsichtsbehörde hat es in den letzten Jahren nicht

27 Schrems I und Schrems II Urteile s. EuGH, C-362/14; C-311/18.
28 https://www.datenschutz-notizen.de/rekordbussgeld-gegen-amazon-2530680/#:~:text=Wie%20die%
20Luxemburger%20Datenschutzbeh%C3%B6rde%20am,auf%20insgesamt%2050%20Millionen%20Euro.
812  F 4: Johannes Caspar

geschafft, in den vielen ihr vorliegenden Fällen über schwerwiegende Datenschutzvor-
fälle einen wirksamen Vollzug herzustellen.
     Für den Fall, dass andere Aufsichtsbehörden der EU mit dem Ergebnis der federfüh-
renden Aufsichtsbehörde nicht einverstanden sind, wird der Fall auf den Europäischen
Datenschutzausschuss, dem höchsten Datenschutzgremium der EU, verlagert. Dort ha-
ben dann 30 Behörden in gemeinsamer Abstimmung darüber zu befinden. Das Verfah-
ren ist langwierig und bürokratisch und führt dazu, dass die zumeist schlecht ausgestat-
teten Datenschutzbehörden ihre Ressourcen in internen Kontroversen um die Auslegung
und den Vollzug der DSGVO erschöpfen (Caspar 2020).

7 Künftige Herausforderungen des Schutzes der
  informationellen Integrität
Die immer weiter um sich greifende Ökonomisierung von personenbezogenen Daten und
die fortschreitende Digitalisierung werden in den nächsten Jahren ganz neue Herausfor-
derungen für den Schutz der Privatsphäre mit sich bringen. Einen besonderen Schwer-
punkt stellt die Anwendung von Verfahren künstlicher Intelligenz dar. Mit dem Artificial
Intelligence Act (AIA) hat die EU-Kommission am 21. April 2021 einen durchaus ambitio-
nierten Verordnungsentwurf für künftig einheitliche Grundsätze zum Einsatz von künst-
licher Intelligenz in der EU vorgelegt. 29
     Der Begriff Artificial Intelligence (AI) ist schillernd und wird unterschiedlich defi-
niert. Der Entwurf verzichtet auf abstrakte Definitionen von AI und spricht stattdessen
von Künstliche -Intelligenz- oder KI-Systemen als Software, die bestimmten technischen
Ansätzen folgt. Dazu gehört insbesondere das Maschinelle Lernen. Nach Artikel 3 be-
zieht sich der Anwendungsbereich auf

     Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Ansätze entwi-
     ckelt wurde und für eine bestimmte Reihe von vom Menschen definierten Zielen Ergebnisse wie In-
     halte, Vorhersagen, Empfehlungen oder Entscheidungen generieren kann, die die Umgebungen be-
     einflussen, mit denen sie interagieren. (s. FN. 28)

Beim Einsatz von künstlicher Intelligenz ergeben sich erhebliche Probleme im Zusam-
menhang mit der Datenverarbeitung. Selbstlernende Verfahren der Datenverarbeitung
sind unter rechtsstaatlich-demokratischen Aspekten bei der Anwendung im öffentlichen
Sektor problematisch (Caspar 2019, S. 1–4). Ferner sind sie durch eine hohe Intranspa-
renz gekennzeichnet und werfen neben der datenschutzrechtlichen Zulässigkeit Fragen
des Diskriminierungsschutzes auf. Grund hierfür ist, dass ein Training auf verzerrter Da-
tenbasis zu verzerrten Algorithmen führt. Das Garbage-In-/Garbage-Out-Problem zeigt,
dass selbstlernende Systeme in hohem Maße von den Datensätzen abhängig sind, mit
denen sie programmiert werden. Geschieht dies ohne Kontrolle werden Vorurteile me-
chanisiert und für die Zukunft fortgeschrieben. Die Liste der Beispiele hierfür ist lang.
Sie führt von der Diskriminierung von dunkelhäutigen Menschen bei der Bilderkennung
über die Schlechterstellung von weiblich aussehenden Bewerberinnen bis hin zur Be-
nachteiligung von schwarzen gegenüber weißen Verurteilten bei der Prognose der Rück-

29 Verordnung eines Rechtsaktes über Künstliche Intelligenz, SEC(2021) 167 final.
F 4: Datenschutz und Informationsfreiheit    813

fallwahrscheinlichkeit von Straftäter*innenbei einer vorzeitigen Haftentlassung. Eine si-
chere und vertrauenswürdige AI ohne Regulierung kann es daher nicht geben.
     Ein weiteres Problemfeld stellt – ebenfalls über den Einsatz von selbstlernenden
Systemen – die automatisierte Auswertung von Gesichtern von Personen in der Öffentlich-
keit dar. Die Zuordnung von Gesichtern zu Personen in Echtzeit oder retroaktiv aus ge-
sammeltem Videomaterial birgt enorme Risiken einer anlasslosen massenhaften Über-
wachung mit sich. Die Effizienz solcher Systeme, wie sie durch China unter dem Projekt
Skynet in beispielloser Weise mit 600 Millionen auf biometrischer Grundlage betriebe-
nen Videokameras umgesetzt wurde, macht deren Einsatz zur sozialen Steuerung überall
in der Welt für Staaten attraktiv. Das gilt entsprechend auch für Anwendungen durch
private Datenverarbeiter.
     Mit Hilfe automatisierter Gesichtserkennung lassen sich nicht nur Straftaten aufde-
cken, auch das Betretungsverbot von Fußballstadien oder dem Supermarkt sowie das
umfassende Tracken von Personen im Stadtgebiet sind über biometrische Echtzeiterken-
nung möglich. Dies stellt aber auch eine neuartige Bedrohung der Freiheitsrechte und
der Privatsphäre durch eine nie dagewesene umfassende Kontrollmacht über Personen
dar. Es wird in den nächsten Jahren von zentraler Bedeutung sein, die Möglichkeiten der
digitalen Technologien zur Überwachung in einer rechtsstaatlichen Weise einzugrenzen.
Dabei gilt: Die Technik muss dem Recht folgen – nicht umgekehrt. Denn nicht alles, was
digital-technologisch umsetzbar ist, darf auch tatsächlich umgesetzt werden. Die Grund-
rechte der informationellen Selbstbestimmung, aber auch andere Grundrechte wie die
Demonstrationsfreiheit, das Telekommunikationsgeheimnis und die Meinungsfreiheit
müssen gerade im digitalen Zeitalter gewahrt werden. Jede Einschränkung der Grund-
rechte kann nicht durch die bloße Umsetzung von Technik oder durch ökonomische Ziel-
setzungen begründet werden, sondern nur durch rechtliche formell und materiell verfas-
sungsmäßige Gesetze.

8 Das Recht auf Zugang zu öffentlichen Informationen –
  staatliche Transparenz als Wesensmerkmal des digitalen
  Rechtsstaats
Neben dem Bereich des Schutzes der eigenen Daten und den sich hieraus ergebenden
subjektiven Rechten stellt das Recht auf Zugang zu Informationen aus öffentlichen Quel-
len ein zentrales Grundrecht im digitalen Rechtsstaat dar. Datenschutzrecht und das
Recht auf Informationsfreiheit sind insoweit zwei Seiten einer Medaille. Die demokrati-
sche Willensbildung ist davon abhängig, dass sich die Menschen aus erster Hand eine
Meinung auf unverfälschter Tatsachenbasis bilden können. Das gilt gerade in einer
Welt, in der die Tatsachen als Alternative Facts und Fake News immer mehr manipuliert
und verzerrt werden. Der Zugang zu Daten, die öffentliche Stellen vorhalten, ist hierge-
gen ein effektives Gegenmittel.
     Ein gläserner Staat fördert das Vertrauen der Bürgerinnen und Bürger in staatliche
Instanzen. Gleichzeitig hilft Transparenz gegen Korruption und staatliches Missmanage-
ment und stärkt die Selbstreflexionsbereitschaft staatlicher Entscheider*innen. Die Öf-
fentlichkeit wird durch den Zugang zu öffentlichen Informationen in der Hand des Staa-
tes in die Lage versetzt, Regierungshandeln durch einen umfassenden und vorausset-
zungslosen Anspruch auf Einsicht in Verwaltungsunterlagen zu kontrollieren. Sie kann
diese Aufgabe parallel zu den Parlamenten ausüben und verfügt mit den geltenden In-
814  F 4: Johannes Caspar

formationsfreiheitsgesetzen durchaus über vergleichbare Informationsrechte wie die
Parlamente und die Abgeordneten.
      Das Grundrecht der Informationsfreiheit aus Art. 5 Abs. 1 GG schützt den ungehinder-
ten Zugang zu öffentlichen Informationsquellen. Die Besonderheit dieses Grundrechts
ist sein akzessorischer Charakter. Das Grundrecht bezieht sich auf öffentlich zugängliche
Informationen, setzt also voraus, dass die Informationen durch eine Rechtsnorm erst all-
gemein zugänglich gemacht werden.30 Das Recht auf Informationszugang ist in seinem
Umfang daher von der Tätigkeit des Gesetzgebers abhängig.31 Für den Bereich der amtli-
chen Informationen, dazu zählen alle zu amtlichen Zwecken dienenden Aufzeichnun-
gen, wird der Zugang durch die verschiedenen Informationsfreiheitsgesetze in Bund und
Ländern festgelegt.
      Die akzessorische Struktur dieses Grundrechts ist verantwortlich dafür, dass in kei-
nem anderen Bereich mit einer entsprechend hohen Bedeutung für Rechtsstaatlichkeit
und Demokratie in der Bundesrepublik eine derartig zerklüftete Rechtslandschaft be-
steht. Statt einheitlicher Strukturen hat sich eine Dreiklassengesellschaft der Transparenz
gebildet: In der Holzklasse sitzen Bürger*innen in den Bundesländern Bayern und Nie-
dersachsen ohne die Möglichkeit eines voraussetzungslosen Zugangs zu Informationen.
      In der zweiten Klasse der Transparenz gelten die Informationsfreiheitsgesetze erster
Generation. Sie eröffnen immerhin einen Anspruch der Bürger*innen auf Auskunft ge-
genüber öffentlichen Stellen. Hierzu gehören etwa das Informationsfreiheitsgesetz des
Bundes und das Informationsfreiheitsgesetz in NRW. Bürger*innen können, ohne ein be-
sonderes Interesse darlegen zu müssen, einen individuellen Antrag auf Zugänglichma-
chung zu einzelnen Vorgängen der Verwaltung stellen.
      Eine neue Generation von Informationsfreiheitsgesetzen stellt die Premiumklasse
der Transparenzgesetze dar. Die Informationen werden hier nicht nur als eine Holschuld
der Bürger*innen behandelt. Vielmehr wird die Information als eine Bringschuld des
Staates verstanden. Diese wird erfüllt durch eine proaktive Veröffentlichung in Transpa-
renzregistern, in denen die öffentliche Hand ihre Informationen einstellen muss. Bürge-
r*innen können dort anonym und entgeltlos auf die Informationen zugreifen. Hier ent-
fällt das Erfordernis, zumeist gebührenpflichtige Anträge bei der Verwaltung auf Zugang
zu Informationen stellen zu müssen.
      Das erste Transparenzgesetz wurde 2012 in Hamburg erlassen und gilt seither als ge-
sellschaftspolitischer Meilenstein. In den folgenden Jahren war es maßgeblich die Blau-
pause für andere Bundesländer wie etwa Bremen, Schleswig-Holstein oder Rheinland-
Pfalz und zuletzt Sachsen, die dem Beispiel einer proaktiven Veröffentlichungspflicht
folgen. Der Umfang der Veröffentlichungspflichten in den Transparenzgesetzen wird
darin durch einen gesetzlichen Regelungskatalog festgeschrieben. Hierzu zählen in Ham-
burg etwa Verwaltungsvorschriften sowie Verträge der Daseinsvorsorge, Baugenehmi-
gungen, Gutachten und Studien, die von der Verwaltung in Auftrag gegeben wurden,
sowie wesentliche Unternehmensdaten öffentlicher Beteiligungen einschließlich einer
Darstellung der jährlichen Vergütungen für die Leitungsebene.
      Der Grundsatz der Zugänglichkeit zu öffentlichen Informationen gilt jedoch mit zahl-
reichen Ausnahmen. Gläserne Bürger*innen dürfen nicht der Preis des gläsernen Staates
sein. Deshalb sind hier besonders schutzwürdige Aspekte, wie etwa der Schutz der per-
sonenbezogenen Daten dritter Personen sowie Betriebs- und Geschäftsgeheimnisse und
Urheberrechte zu beachten. Ebenso sind gesetzlich näher umschriebene Ausnahmen

30 BVerfGE 103, 44, 60.
31 BVerfGE 1 BvR 1978/13, Rn. 20.
F 4: Datenschutz und Informationsfreiheit         815

zum Schutz öffentlicher Belange zu nennen. Dies betrifft etwa Informationen über die
innere Sicherheit oder bereichsspezifische Besonderheiten, wie die journalistisch-redak-
tionelle Unabhängigkeit von Rundfunkanstalten, die dem Anspruch auf freien Zugang
entgegenstehen können. Mitunter gibt es Bereichsausnahmen, deren Rechtfertigung
zweifelhaft ist. So lässt sich etwa die pauschale Ausnahme der Verfassungsschutzämter
von der Auskunfts- und Veröffentlichungspflicht nicht rechtfertigen, zumal es ausrei-
chende Vorschriften gibt, die einen Schutz vor der Veröffentlichung von geheimhal-
tungsbedürftigen Daten bieten.
     Insgesamt ist die Entwicklung der Transparenz öffentlicher Stellen eine Erfolgsge-
schichte. So hat in den letzten Jahren die Zahl der Bundesländer, die über ein Informati-
onsfreiheitsgesetz verfügen, stetig zugenommen. Ebenfalls hat sich der Gedanke der an-
tragsunabhängigen Informationen durch Einführung von umfangreichen Veröffentli-
chungspflichten immer stärker durchgesetzt. Mehrere Bundesländer folgen dem Beispiel
des Hamburger Transparenzgesetzes und sehen mittlerweile antragsunabhängige Veröf-
fentlichungspflichten vor. Der Bund mit seinem Informationsfreiheitsgesetz und damit
die gesamte Bundesverwaltung ist auf diesen Zug bislang noch nicht aufgesprungen. Die
fortschrittlichen Entwicklungen in Richtung Transparenz der öffentlichen Verwaltung
werden sich jedoch auch hier auf Dauer nicht aufhalten lassen. Im Koalitionsvertrag der
Regierungsparteien ist die Weiterentwicklung des Informationsfreiheitsgesetzes des
Bundes zu einem Bundestransparengesetz vorgesehen.32

9 Fazit
Der Umgang mit Daten ist in der Digitalisierung von zentraler Bedeutung für die Rechte
der Individuen sowie für das Leben in Staat und Gesellschaft. Der Schutz personenbezo-
gener Daten und ein transparenter Zugang zu öffentlichen Informationen sind Voraus-
setzung für eine selbstbestimmte und faire digitale Welt. Unter den Bedingungen einer
umfassenden Effizienzrevolution in allen Bereichen von Staat und Gesellschaft ist die
Rolle, die wir den Daten zuschreiben, wie wir sie schützen oder auch zum Wohle der All-
gemeinheit zugänglich machen, der zentrale Maßstab für die rechtsstaatliche Verfasst-
heit unseres Gemeinwesens.

10 Literaturverzeichnis
Brundage, M., Avin, S., Clark, J., Toner, H., Eckersley, P., Garfinkel, B., Dafoe, A., Scharre, P., Zeitzoff, T.,
    Filar, B., Heather, R., Gregory, C. A., Steinhardt, J., Flynn, C., Eigeartaigh, S., Beard, S., Belfield, H.,
    Farquhar, S. & Amode, D. (2017). The malicious use of artificial intelligence: Forecasting, prevention,
    and mitigation. https://arxiv.org/ftp/arxiv/papers/1802/1802.07228.pdf.
Caspar, J. (2019). Herrschaft der Maschinen oder Herrschaft des Rechts? – Grenzen und Leitlinien für algo-
    rithmische und selbstlernende Verfahren in der Verwaltung – Thesen. PinG – Privacy in Germany –
    Datenschutz und Compliance 1, 1–4.
Caspar, J. (2020). Zwischen Symbolik und Gestaltungskraft – Ist die EU-DSGVO eine Mogelpackung? Vor-
    gänge – Zeitschrift für Bürgerrechte und Gesellschaftspolitik. Nr. 231/232, 99–116.
Caspar, J. (2023). Wir Datensklaven. Wege aus der digitalen Ausbeutung, Econ,

32 Koalitionsvertrag 2021-2025 zwischen SPD, Bündnis 90/Die Grünen und FDP, S. 9.
816  F 4: Johannes Caspar

Dreier, T. & Spiecker, I. (2010). Die systematische Aufnahme des Straßenbildes. Zur rechtlichen Zulässig-
     keit von Online-Diensten wie „Google Street View“. Nomos.
Roßnagel, A. (2010). Die „Überwachungs-Gesamtrechnung“ – Das BVerfG und die Vorratsdatenspeiche-
     rung. NJW, 1238–1242.
Sie können auch lesen