Das Ende der Privatsphäre: Der Weg in die Überwachungsgesellschaft

werden dazu eingesetzt, immer mehr personenbezogene Daten zusammenzuführen und zu nutzen, selbst wenn es um Verwendungszwecke geht, die mit dem ursprünglichen Anliegen der Datenerhebung nicht das Geringste zu tun haben. Unternehmen werden durch die EG-Richtlinie zur Vorratsspeicherung von Verkehrsdaten der Telekommunikation verpflichtet, die sie zur Wahrnehmung eigener Geschäftszwecke gar nicht benötigen (vgl. 3.3). Überwachungsmöglichkeiten, wie sie sich etwa über das Internet ergeben – zum Beispiel die »Online-Durchsuchung« (vgl. 3.4) – oder durch Fortschritte bei der Biometrie (vgl. 2.7) möglich erscheinen, werden rasch zur Anwendungsreife gebracht, und ihr Einsatz wird gesetzlich abgesichert. Forderungen zum Einsatz neuer Überwachungstechniken werden bisweilen sehr schnell erhoben, ohne dass man sich der Reichweite der Maßnahmen und ihrer Folgen wirklich bewusst ist. Vergleichbare Anstrengungen zum Schutz der Privatsphäre, zur Gewährleistung des Datenschutzes und zur Verwirklichung des Rechts auf informationelle Selbstbestimmung sucht man dagegen vergeblich.
    Angesichts dieser bedenklichen Schieflage muss daran erinnert werden, dass die verfassungsrechtlich verankerten Grundsätze der Menschenwürde und der Verhältnismäßigkeit für eine demokratische Informationsgesellschaft von entscheidender Bedeutung sind. Diese Grundsätze sind nicht nur bei der Erhebung von Daten bedeutsam, sondern auch bei ihrer weiteren Nutzung. Insbesondere Daten, die bei der Verwendung von IT-Systemen automatisch generiert werden, können vielfältig miteinander verknüpft werden. Eine Mehrfachnutzung von Daten mag wirtschaftlich oder auch politisch sinnvoll erscheinen. IT-Systeme müssen gerade deshalb aber so gestaltet werden, dass die Zusammenführung für unterschiedliche Zwecke gespeicherter Datenbestände nur unter klar definierten und kontrollierten Bedingungen erfolgen kann. IT-Sicherheit und Datenschutz müssen dabei miteinander verschmelzen, denn ein Höchstmaß an Datenschutz kann nur durch angemessene Technik erreicht werden.
    Die Entwickler und Anwender von Informationssystemen müssen dafür sorgen, dass deren Auswirkungen für den Einzelnen und für die Gesellschaft nachvollziehbar sind. Nur wenn die Betroffenen wissen, welche Konsequenzen neue technische Hilfsmittel haben, können sie souverän damit umgehen. Transparenz schafft zugleich Vertrauen in neue IT-Vorhaben und Technologien. Umfassende Aufklärung, Beratung und Information tragen dazu bei, dass datenschutzfreundliche Technologien sich auf dem Markt durchsetzen können.
    IT-gestützte Verfahren müssen so ausgestaltet werden, dass sie den Nutzern umfassende Wahlrechte hinsichtlich des Umgangs mit ihren Daten bieten. Gegebenenfalls sollte die Möglichkeit erhalten bleiben, private und öffentliche Dienstleistungen auch ohne Nutzung elektronischer Systeme in Anspruch zu nehmen. Die Erhebung von Daten sollte so weit wie möglich an die auf Information beruhende Einwilligung der Betroffenen gebunden werden. Dabei sind die Grundsätze zu beachten, die das Bundesverfassungsgericht in seinem Beschluss vom 23. Oktober 2006 zur Erforderlichkeit eines wirkungsvollen informationellen Selbstschutzes aufgestellt hat. Echte Freiwilligkeit ist nur dann gegeben, wenn es wirkliche Alternativen gibt. So sollten zum Beispiel bei kommerziellen Diensten verschiedene Bezahlmöglichkeiten angeboten werden, etwa auch datenschutzfreundliche Prepaid-Lösungen. Im Handel verwendete RFID-Chips müssen vom Nutzer deaktivierbar sein, ohne die Funktionalität des Produkts zu beeinträchtigen (vgl. 2.3).
    Datenschutz sollte bereits in das Systemdesign der IT eingebunden werden. Nachträglich aufgepfropfter Datenschutz ist oftmals schlechter und teurer. Deshalb sollte es eine Selbstverständlichkeit sein, dass Konzepte von IT-Verfahren und Geräten möglichen Gefährdungen des Datenschutzes Rechnung tragen. Je sensibler der Anwendungsbereich und die Daten, desto höher sind auch die Anforderungen an Schutzvorkehrungen gegen einen Missbrauch. Die Gewährleistung dieser Anforderungen darf nicht allein dem Anwender überlassen bleiben, sondern dafür muss auch der Hersteller Verantwortung tragen. Nur wenn das Produkt bzw. IT-Verfahren einen datenschutzkonformen Betrieb ermöglicht (etwa durch Zugriffsschutz-, Protokollierungs- und Verschlüsselungsfunktionen), können es die Anwender datenschutzgerecht verwenden.
    In einer zunehmend technisch geprägten Umwelt lässt sich die