Wissen Sie, wer was über Sie weiß? Wollen Sie es wissen?

- Dezember 19, 2010

„Nein, nein“, sagte mir eine Mitarbeiterin eines Mandanten, die ich in einem Projekt sogenannter neuer medizinischer Versorgungsformen berate. „Halten Sie die Einwilligungserklärung so allgemein wie möglich. Je mehr Informationen da drin stehen, desto eher sind die Leute misstrauisch und unterschreiben das nicht“.

Verkehrte Welt

Die Aufsichtsbehörde, die vor ein paar Monaten eben jene Einwilligungserklärung aus meiner Feder las, hatte genau das Gegenteil beanstandet. Mein Text genüge den Anforderungen nicht, die das Bundesverfassungsgericht an solche Erklärungen stelle. Er sei zu allgemein gehalten. Verkehrte Welt, dachte ich. Und nun?

Viele Knoten …

Seit langer Zeit stehe ich in der Beratung dieses Mandanten bezüglich der Formulierung der Einwilligungserklärungen zur Legitimation der Verarbeitung medizinischer Daten vor vielen Knoten. Wenn ich einen auflöse, entsteht an einer anderen Stelle sofort ein neuer. Mein Anspruch, die Patienten so detailliert wie möglich über den Umgang mit ihren Daten zu informieren scheitert zum Teil an – durchaus nachvollziehbaren – praktischen Problemen. (Wobei es ja nicht nur um meinen Anspruch geht, sondern um die Umsetzung geltenden Rechts). Der Kompromiss in Gestalt einer eher allgemein gehaltenen Einwilligungserklärung, die auf Nachfragen der Betroffenen mit einer Information zu den Einzelheiten ergänzt werden kann, trifft auf die Missbilligung der Aufsichtsbehörde. Und nun auch noch der Hinweis, dass, je mehr Informationen geliefert werden, desto weniger die Leute bereit seien, zu unterschreiben.

Allgemeine Gleichgültigkeit

Der Befund der Mitarbeiterin meines Mandanten deckt sich unter anderen Vorzeichen mit eigenen Erfahrungen. Als Mutter einer Tochter, die mit einer Anlage zu einer besorgniserregenden Krankheit zur Welt kam, bin ich in der Vergangenheit immer wieder in medizinischen Einrichtungen mit schlecht formulierten Einwilligungserklärungen konfrontiert worden, die in keinem Fall der Anforderung genügten, mich nachvollziehbar darüber zu informieren, wer welche Daten meines Kindes zu welchem Zweck verarbeitet und übermittelt. Wenn ich Fragen stellte oder mich kommentarlos weigerte das zu unterschreiben, war immer großes Erstaunen die Folge. Auf die Idee war vor mir noch niemand gekommen. Außer mir schien es niemanden zu interessieren.

Alles egal?

Und der Befund deckt sich mit den Erfahrungen aus den USA, wo die Unternehmen in den meisten Bundesstaaten verpflichtet sind, die Bürger bei Datenverlusten zu informieren. Diese „Information-Breach-Notices“ landen Analysen zufolge in einem Großteil der Fälle ungelesen im Papierkorb.

Wie kann es sein, dass wir beim Umgang selbst mit unseren medizinischen Daten so eine, drastisch formuliert, Scheiß-Egal-Haltung an den Tag legen? Ist es uns wirklich egal, wer was über uns weiß?

Im Fall von Google Streetview war es vielen von uns nicht egal. Da ging es allerdings um ein paar Häuserfassaden und nicht um sensible Informationen zu unserem körperlichen und seelischen Zustand. Wird ihre Adresse für Werbezwecke benutzt, hört für viele auch der Spaß auf. Vielleicht ist das der Grund: Häuserfassaden und Werbesendungen sind greifbar und die Folgen des Missbrauchs handfest erfahrbar. Im Fall von Google Streetview kam noch der Ärger über das arrogante Verhalten eines Großkonzerns hinzu.

Volkszählungsurteil

Auch die immer noch gültigen Sätze des Bundesverfassungsgerichts aus dem Volkszählungsurteil aus dem Dezember 1983 beschreiben eher abstrakte Folgen der umfassenden (staatlichen) Kenntnis unserer persönlichen Verhältnisse. Bemerkenswert auch, dass an die umfassende Kenntnis privater Unternehmen damals noch gar nicht gedacht wurde:

„Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen“.

Etwas konkreter wird es dann noch mit einem typischen Achtziger Jahre Beispiel:

„Wer damit rechnet, daß etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und daß ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist“.

Ich bin inzwischen gar nicht mehr sicher, ob das Bundesverfassungsgericht damit heute noch Recht hat. Ich bin allerdings sehr sicher, dass die Alternative, eine Gesellschaftsordnung der totalen Offenheit ohne Geheimnisse, mit Sicherheit keine demokratische mehr sein wird. Wir sollten beginnen, wieder wissen zu wollen.
Read More

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.