Zur Vorratsdatenspeicherung ist eigentlich schon alles gesagt, eine ganz gute Zusammenfassung des Themas ist auf Wikipedia zu finden. Revitalisiert wird die Diskussion jetzt, weil das Verwaltungsgericht Köln die Hamburger HanseNet verpflichten will, die technischen Voraussetzungen zur Umsetzung der Vorratsdatenspeicherung zu schaffen. Sabine Leutheusser-Schnarrenberger, die rechtspolitische Sprecherin der FDP-Fraktion in Bundestag, sagte schon 2007 zur Vorratsdatenspeicherung: "Ein vorprogrammierter Verfassungskonflikt."

Rundumschläge des Staates untersagt die deutsche Verfassung, egal ob beim großen Lauschangriff, beim Bundestrojaner oder eben bei der Vorratsdatenspeicherung. Zu Recht, denn Rundumschläge machen aus normalen Bürgern Verdächtige, und seit dem 11. September 2001 sogar verdächtige Terroristen. Das will niemand, denn nicht der Bürger ist dem Staat Rechenschaft schuldig, sondern umgekehrt.

So kurz und klar das Grundgesetz in dieser Hinsicht ausgelegt ist, so regelmäßig gibt es Vorstöße von Parteien, Fraktionen, der Regierung oder der EU, und so oft wundere ich mich, dass die ach so politisch versierten Akteure offenbar immer wieder versuchen, die Verfassung zu hintergehen. Glücklicherweise werden diese Vorstöße genauso regelmäßig vom Bundesverfassungsgericht kassiert oder zurechtgestutzt. Damit wäre ich dann wieder nur teilverdächtig.

Die USA nehmen es wie gewohnt etwas legerer: Soeben berichtet die Washington Post, das Weiße Haus möchte den umstrittenen Patriot Act, also das acht Jahre alte, von der Bush-Regierung mit heißer Nadel gestrickte Anti-Terror-Gesetz, verlängern. Obwohl: Man ist "gewillt, zusätzliche Datenschutzbestimmungen in Betracht zu ziehen" – na gut, nur unter der Bedingung, dass sie "die Effektivität der Staatsgewalt nicht unterwandern". In der Praxis heißt das dann wohl wieder vollverdächtig.

Die Daten-Soap geht weiter. Lange haben wir gewartet, jetzt ist es soweit: die deutschen Parteien haben ihren Auftritt. Denn mit dem Datenschutz nehmen sie es auf ihren Websites nicht so genau, fanden die Autoren der Xamit Bewertungsgesellschaft in einer Studie heraus. Genauer: manche missachten geltende Datenschutzgesetze. Die SPD etwa gibt Spenderdaten an Dritte weiter, verspricht aber das Gegenteil; Die CSU lässt Finanzdaten von Spendern in den USA verarbeiten, dem Land der unbegrenzten Schnüffelmöglichkeiten. Die Linkspartei verschlüsselt den Transfer von Finanzdaten nicht, im Internet sind die Daten damit genau so geheim wie der Text einer Postkarte.

SPD-Versprechen Stand heute:

Einige (CDU und SPD) analysieren das Surfverhalten ihrer Besucher mit Google Analytics – wieder fliessen die Daten zur Auswertung in die USA, die CIA dankt. Andere lassen die gesetzlich vorgeschriebene Datenschutzerklärung auf Kontaktformularen aus oder (wie die Grünen) passen bei der Auskunft, wo oder wie personenbezogene Daten verarbeitet werden. Für Parteien ist diese Auskunft gesetzlich verpflichtend. Die Studienautoren stellten "eine weitverbreitete Unkenntnis datenschutzrechtlicher Bestimmungen bei den Parteien" fest. Und sie schliessen ab: "Es liegt nahe, dass diese beiden Faktoren den Nährboden für die zahlreichen und vielfältigen Datenschutzverstöße bildeten."

Naja, warum sollen die Parteien besser über Datenschutz Bescheid wissen als unsere Parlamentarier?

Heute tritt das neue Bundesdatenschutzgesetz in Kraft. Nach den massiven Skandalen im "Jahr des Datenmissbrauchs 2008" hat sich der Gesetzgeber bequemt, das bestehende Gesetz aufzupolieren. Viel mehr als Kosmetik ist es nicht, aber das Paragraphendickicht ist, ob absichtlich oder nicht, noch etwas undurchsichtiger geworden. Gewiss, der Verbraucher kann jetzt mit mehr oder weniger Aufwand erfahren, woher Werbefirmen seine Daten haben. Der Datenhandel an sich ist aber weiter erlaubt, und die richtige Kontrolle über seine Daten hat der Verbraucher damit immer noch nicht. Die Werbewirtschaft, die eine beispiellose Lobby-Kampagne durchgezogen hat, um den Gesetzgeber unter Druck zu setzen, erfreut's. Im Sinne der informationellen Selbstbestimmung ist das aber nicht.

Beim Arbeitnehmerdatenschutz ist eigentlich noch weniger passiert, und die möglichen Strafen für Datenschutzsünder sind nach wie vor milde – zumal die Aufsichtsbehörden personell kaum aufgestockt werden. Gerade 2,5 Arbeitskräfte hat etwa die Datenschutzbehörde in Nordrhein-Westfalen – um 700.000 Betriebe zu kontrollieren. Die Gefahr, erwischt zu werden, ist also gering.

Der Gesetzgeber hat versagt. Der eigentliche Skandal aber ist nicht der Hofknicks vor der Werbewirtschaft, die für ein weichgespültes Gesetz gesorgt hat. Der eigentliche Skandal besteht darin, ein hoffnungslos veraltetes Gesetz aus den 70er Jahren anpassen zu wollen – ohne das Bewusstsein, das Datenmissbrauch heute mit Datenmissbrauch vor 30 Jahren ungefähr soviel zu tun hat wie eine Muskete mit einem modernen Marschflugkörper.

Die Datenhaltung im Zeitalter des Internets hat eine völlig andere Qualität als auf lahmen Großrechnern der 70er: Binnen Sekunden lassen sich heute Daten massenweise sammeln, duplizieren, weiterleiten, verknüpfen und analysieren. Nutzer- und Verhaltensprofile beliebig vieler Verbraucher lassen sich augenblicklich erstellen. Und weil private Daten im Web in Hülle und Fülle gespeichert sind, zum Teil einfach abrufbar sind, und sich diese Daten zudem mühelos verbinden lassen, entsteht ein mehr als explosives Gemisch.

Denn die vollständige digitale Identität der Bürger kann damit missbraucht werden. Auch wenn "nur" ihre digitalen Spuren genutzt werden, steht ihre tatsächliche Integrität auf dem Spiel, denn digitale Spuren sind nichts anderes als das Abbild der realen Welt, genauso wie der ausgedruckte Kontostand tatsächlichem Geld entspricht. Mit ungewollter Werbepost hat das nichts mehr zu tun.

Das hat der Gesetzgeber nicht berücksichtigt. Es wird Zeit, an einer modernen und von Grund auf neuen Novelle zu arbeiten.