1. Die europäische Datenschutzrichtlinie und das amerikanische Modell
	2. Mass Customization und konsensuale Überwachung
	3. Datenschutzaudits - eine Form sektoraler Selbstregulation

1. Die europäische Datenschutzrichtlinie und das amerikanische Modell

Eine Möglichkeit, bürgerrechtliche Standards in Bezug auf die Gewährleistung eines individuellen, intimen Schutzbereiches zu sichern, ist eine Selbstverpflichtung der Akteure, bei denen persönliche Daten anfallen. Dies kann man auch als politisches Tauschgeschäft bezeichnen, das dem Staat und den gesellschaftlichen Normadressaten Vorteile bringt. Der Staat entlastet sich von Aufgaben und Kosten, und die gesellschaftlichen Akteure werden durch den Verzicht staatlicher Intervention motiviert, in eigener Regie Problemlösungsmechanismen aufzubauen.

Während die europäischen Staaten als Steuerungsmittel Gesetze bevorzugen, setzen die Amerikaner traditionell auf Selbstorganisation der Wirtschaft. In neoliberaler Perspektive vertrauen sie den Marktkräften im Hinblick auf die Lösung von Privacy-Problemen. Dort soll die Privatwirtschaft beispielsweise im Internet selbst für einen angemessenen Umgang mit den persönlichen Daten der Kunden sorgen.

Vor dem Hintergrund der europäischen Direktive zum Schutz persönlicher Daten zeigt sich die tiefe Kluft zwischen europäischen und amerikanischen Politikroutinen. Es gleicht fast einem "Wettstreit der Kulturen" , mit welchen Mitteln der Schutz persönlicher Daten erreicht werden soll. Die bereits 1995 beschlossene und im Oktober 1998 in Kraft getretene Datenschutzrichtlinie der EU zielt darauf ab, "Individuen bisher noch nie dagewesene Eigentumsrechte und Kontrolle über ihre persönlichen Informationen zu geben" . Konflikte entstehen hierbei durch die Bestimmungen zur Datenübermittlung an Drittländer, die in Kapitel IV geregelt ist. Als "einer der wichtigsten Kernpunkte der Richtlinie" ist vorgesehen, dass "die Übermittlung personenbezogener Daten unzulässig und damit zu untersagen" ist, wenn das Drittland kein angemessenes Schutzniveau bietet - und das betrifft vor allem Nordamerika.

Während Kanada durch neue Gesetze einen entsprechenden Standard zu etablieren versucht, beharren die US-Amerikaner konsequent auf ihrer Strategie der wirtschaftlichen Selbstregulierung. Und das selbst in einer Situation, da bereits das Menetekel eines Datenembargos oder eines Handelskrieges für die Staaten an die Cyberwand gezeichnet wird, deren Schutzniveau nicht den Anforderungen der Direktive entspricht. Als Kompromissvorschlag entwickelte das US-Wirtschaftsministerium die erstmals im Herbst 1998 vorgestellten und Ende April 1999 überarbeiteten "Safe Harbor Principles" . Diese Prinzipien sehen die freiwillige Verpflichtung eines Online-Anbieters vor, seine Kunden mittels einer transparenten Privacy-Policy über Sinn und Zweck der Datenbefragung aufzuklären und ihnen das Recht einzuräumen, sich gegen die Verarbeitung ihrer persönlichen Daten auszusprechen. Vorausgegangen war in Amerika Anfang 1998 eine Überprüfung des Umgangs von Websites mit persönlichen Daten durch die Federal Trade Commission (FTC). In dem anschließenden Bericht wurden die nicht ausreichenden Informationen der kommerziellen Internet-Seiten darüber, ob und welche Daten gesammelt und zu welchem Zweck gebraucht werden, beanstandet. Um ein Datenschutzgesetz zu verhindern, haben sich dann auf Druck der FTC große Unternehmen zur Online Privacy Alliance (OPA) zusammengeschlossen. Die OPA "plädiert vornehmlich für die Selbstregulation und fordert die Unternehmen dazu auf, ihre Datenschutzrichtlinien gut sichtbar anzubringen und verständlich zu formulieren" , um so eine Art Gütesiegel für den Umgang mit persönlichen Daten erstellen zu können.

In einem zweiten Schritt sieht das Amerikanische Modell die Vergabe eines Zertifikats und die Kontrolle über die Einhaltung der Bestimmungen durch "unabhängige und nicht-kommerzielle Organisationen wie TRUSTe" vor. "TRUSTe, the Internet industry's privacy seal program, is a non-profit organization dedicated to building global trust and confidence in the Internet through a third-party oversight ‚seal' program. TRUSTe assures users that sites are indeed doing what they claim through periodic site reviews and provides consumers with a dispute resolution mechanism. Sites that have successfully met TRUSTe guidelines are able to display a ‚trustmark' seal to inform users of their participation in the program."

Nach der Logik einer wirtschaftlichen Selbstregulierung überprüft also die private Organisation TRUSTe entsprechende Unternehmen und verleiht diesen, "wenn sie den Richtlinien der Online Privacy Alliance entsprechen" ein Qualitätssiegel. Dieses Zertifikat steht dann für die Garantie eines bestimmten Datenschutzstandards und soll somit die oben genannten "sicheren Häfen" gewährleisten. Ein weiteres Beispiel für die Eigeninitiative wirtschaftlicher Akteure zeigt sich in einem gemeinsamen Bericht von Microsoft und der Electronic Frontier Foundation. Neben der Erkenntnis, dass ohne Gewährleistung eines bestimmten Schutzes der Privatsphäre das Vertrauen der Konsumenten nicht gewonnen werden kann und somit für die Nutzung sämtlicher E-Commerce-Anwendungen unverzichtbar ist, gewinnen amerikanische Unternehmen die Einsicht, dass Vertrauen und Schutz persönlicher Daten auch ein wachsender Markt ist.

Die in diesem Bericht beschrieben Optionen wurden auf der neunten Computers, Freedom and Privacy Konferenz Anfang April vorgestellt. Neben dem "Datenschutz-TÜV" gehört als weiterer Baustein zum amerikanischen Konzept der wirtschaftlichen Selbstregulierung - die die amerikanischen Interessenverbände vehement verteidigen, um so einer staatlichen Intervention vorzugreifen - ein sogenannter "Privacy Wizard" . Auf dieser Website sollen "bald vor allem kleinere Firmen durch die Beantwortung eines Fragebogens schnell eine auch maschinenlesbare und leicht implementierbare Formulierung ihrer Datenschutzpolitik erhalten".

Andererseits sieht die technische Lösung zum Schutz persönlicher Daten im Internet die Durchsetzung eines Standards im Sinne des Privacy Preferences Project (P3P) des World Wide Web Consortiums (W3C) vor. Prinzipiell geht es hierbei um die Installation eines Programmes im Browser des Nutzers, welches durch individuelle Einstellungen des Users mit persönlichen Daten gespeist wird und über deren Weitergabe er dann die volle Kontrolle behält. "Die Idee ist, dass der Internetnutzer nicht erst die Seite einer Firma suchen muß, um sich über deren Umgang mit persönlichen Daten zu informieren, und dann jeweils zu entscheiden hat, ob er bereit ist, ihr bestimmte Daten zu überlassen oder nicht, sondern dass der Browser diese Informationen automatisch abfragt, mit den voreingestellten Präferenzen des jeweiligen Besuchers abstimmt und etwa warnt, wenn mehr Daten als gewünscht zu anderen Zwecken usw. gesammelt werden sollen". Damit soll der Nutzer eine implizite Einwilligung zur Datenverarbeitung beim Anbieter geben ("informed consent"). Mittels dieser automatisierten Abstimmung der Präferenzen eines Online-Nutzers mit der Privacy-Policy einer Website soll eine einheitliche Regelung geschaffen werden, die den Anforderungen aus der EU-Direktive und den OECD-Guidelines auf Basis der allgemein anerkannten Fair Information Practices gerecht wird. Ziel ist die Schaffung eines weltweiten technischen sowie politischen Standards. Damit wäre ein weiterer Schritt getan zur Verwirklichung des Ideals eines friedlichen, durch gegenseitige Achtung geprägten Mit- und Nebeneinander von Staat, Gesellschaft und Wirtschaft in den neuentstehenden virtuellen Räumen einer globalen Informationsgesellschaft und zum größtmöglichen Nutzen aller Beteiligten.

Als Schlußfolgerung im angesprochenen EFF-Bericht heißt es dazu: "A new ‚trust-enhanced information ecosystem' will provide critical context for global Internet-based communications and transactions. Such a complex system hinges on cooperation from all segments of the networked society: private, public and non-profit. All three must work together to bring together the rights of the individual, the needs of society and the desires of business. The collective goal: to create technical solutions that are built - from the ground up - with privacy in mind".

Doch auch in der neuen Welt kommen immer mehr Zweifel auf, ob der Schutz persönlicher Daten in den neuen Medien allein der Selbstregulierung der Unternehmen überlassen werden kann und die Wirtschaft in der Lage ist, sich ihrem selbst erstellten Verhaltenskodex zu unterwerfen und sich somit freiwillig zu beschränken. Philippe Queau wirft in seinem Memorandum für "Eine ethische Vision der Informationsgesellschaft" die Frage auf: "Aber warum sollten sie dies machen, da das Anhäufen von persönlichen Daten eine Quelle des Profits und von wertvollen Informationen für die Vermarktungsstrategien darstellen?" Ein generelles Problem der Selbstregulierung ist in einem Umstand zu suchen, den Mancur Olson schon in seiner Untersuchung über die Organisationsfähigkeit von Interessen ansprach. "Aus der Tatsache, dass es für alle Mitglieder einer Gruppe vorteilhaft wäre, wenn das Gruppenziel erreicht würde, folgt nicht, dass sie ihr Handeln auf die Erreichung eines Gruppenziels richten, selbst wenn sie völlig rational im Eigeninteresse handeln" . So wird es innerhalb einer selbstverpflichteten Ordnung vermutlich immer Unternehmen geben, die gemeinsam beschlossene Regeln umgehen.

Das US-amerikanische Modell besitzt Schwächen, da es keine Instanz gibt, die darüber wacht, dass die von einer Unter-nehmung auf seiner Website propagierte Privacy-Policy auch tatsächlich praktiziert wird. Von entscheidender Bedeutung wird also sein, wie sich das unternehmensinterne Verfahren überprüfen lässt und welche Konsequenzen es für eine Firma haben wird, den veröffentlichten Regeln nicht zu folgen.

Bei der Frage nach den Sanktionen gelangt man an einen für jedes Vertrauensmanagement zentralen Punkt. Wer nämlich ist in institutioneller Perspektive überhaupt als Partner der Vertrauenssicherung denkbar? In der Variante des delegierten Vertrauensmanagements, wie beispielweise durch Trust oder auch durch Einrichtungen wie TRUSTe bleibt die Frage, wer in letzter Instanz die Garantie für die Sicherstellung und Gewährleistung der Ordungsmäßigkeit der Verfahren geben kann. Letztendlich lässt sich dieses grundlegende Problem als Vertrauensfrage modellieren; ein Vertrauen, das man in Situationen von Unsicherheit und als Kompensation fehlender Gewissheit bedarf. Giddens definitiert Vertrauen als "confidence in the reliability of a person or a system, regarding a given set of outcomes or events, where that confidence expresses a faith in the probity or love of another, or the correctness of abstract principles".

Im Falle der wirtschaftlichen Selbstregulierung stellt sich dementsprechend die Frage, welche Instanz den Vertrauenskredit und die Kompetenz besitzt, die Verlässlichkeit dieses Systems zu garantieren. Wer sanktioniert eventuelle Verstöße gegen die fomulierten Codes of Conduct und Verfahrensregeln? Ein dem amerikanischen Modell systemimmanentes Problem wurde durch die Praktiken Intels und Microsofts offenkundig. Ende Januar 1999 gab Patrick Gelsinger, Vizepräsident des Chipsherstellers, öffentlich die Pläne bekannt, den Pentium der dritten Generation mit einer elektronischen Seriennummer auszustatten. Durch diese Identifikationsnummern für PC-Prozessoren ließe sich ein Rechner im Internet erkennen und würde so einer elektronischen Überwachung Vorschub leisten. Da nun diese Funktion zunächst voreingestellt aktiv und dann erst "opt-out" durch den Benutzer auszuschalten wäre, ist sie mit den Bestimmungen der EU-Richtlinie nicht konform. Diese verlangt eine ausdrückliche Einwilligung.

Im Fall Microsoft wurde nur zufällig publik, dass der Software-Gigant ohne Wissen des Kunden in Rahmen der online-Registrierung eine ID-Nummer generiert und darunter alle anfallenden persönlichen Informationen sammelt . Die Effektivität der Selbstregulation und die Verantwortlichkeit der Privatwirtschaft für den Schutz persönlicher Daten muß angesichts dieses Vorfalls hinterfragt werden. Die "unabhängige" Zertifizierungsorganisation TRUSTe, dessen Privacy-Siegel Microsoft trägt, rügte den Konzern zwar "milde" wegen dem Einsatz der GUID (Globally Unique Identifier), unterließ allerdings eine weiterführende Untersuchung über den Umgang mit persönlichen Daten bei Microsoft unter dem Hinweis, das Versenden von Kunden-IDs an eigene "sichere" Server unterliege nicht dem Lizenzabkommen.

Für Jason Catlett von Junkbusters , einer Organisation, die sich mit der Unterdrückung unerwünschter Post (Junkmail) einsetzt, beweist dieser Vorfall, "dass diese Siegel nicht den wirklichen Schutz persönlicher Daten bieten, den die Menschen wollen und benötigen", denn "Selbstregulation ist ein zahnloser Tiger" . Grundgedanke des amerikanischen Modells ist die Überprüfung der von den Firmen veröffentlichten Privacy-Policy durch unabhängige Dritte. Doch das Vertrauen in die Unabhängigkeit dieser Institutionen schwindet, wenn es wirtschaftliche Verflechtungen gibt. Microsoft unterstützt die Überwachungsinstanz TRUSTe mit 100.000 US-Dollar. Zudem gibt es keine wirklichen Sanktionen. Es stellt sich die Frage, ob die Siegel die Bytes wert sind, aus denen sie bestehen.

2. Mass Customization und konsensuale Überwachung

Einen ganz neuen Aspekt in der Diskussion über wirtschaftliche Selbstregulation beleuchtet Samarajiva, indem er die Veränderungen in Produktion und Konsumption betrachtet und ihren Zusammenhang mit den Kommunikationsgewohnheiten analysiert. Sein Fazit ist, dass einen Paradigmenwechsel der wirtschaftlichen Informationspolitik erforderlich sei.

Samarajiva konstatiert einen fundamentalen Wandel der Produktionsweise und erläutert, wie dieser mit den Veränderungen der Medien und damit der Marketingstrategien korreliert. Er sieht eine Verschiebung der konventionellen Massenproduktion hin zu immer stärker kundenorientierter und marktangepaßter Individualproduktion, die heutzutage auch in Massenfertigung realisiert werden kann: mass customization nennt er dieses Phänomen. Begleitet wird diese Veränderung durch die Fragmentierung und Diversifizierung der Massenmedien und die Verbreitung interaktiver Kommunikationstechnologien für funktional differenzierte Spezialpublika.
"Mass production went with mass marketing, and mass marketing went with mass media". Die Logik der neuen Form von mass customization impliziert einen enormen Bedarf an detaillierten Informationen über Konsumenten, und zwar hinsichtlich deren Wünsche und Konsumverhalten. Nur so kann eine flexible, sensibel auf die Wünsche und den Bedarf zugeschnittene Erstellung von modernen Mehrwertdienstleistungen funktionieren, die oft eine Integration bislang getrennter Dienste und Güter bedeutet.

Nach Samarajiva begünstigen allerdings gerade die interaktiven und elektronisierten Mediensysteme die unauffällige Sammlung von Transaktionsdaten (transaction-generated information TGI ), mittels derer Veränderungen des Konsumverhaltens schnell festgestellt und idealerweise vorhergesagt werden können. "In sum, mass customization requires the surveillance of spatially dispersed, dynamic target markets and the building of relationships with customers. Customized production goes with customized marketing, which goes with customer surveillance. This is the surveillance imperative" . Die erforderliche Sammlung von kundenspezifischen Daten lässt sich nun in einem Kontinuum zwischen erzwungener und konsenualer Überwachung realisieren.

Unfreiwillge Überwachung im eigentlichen Sinne provoziert Misstrauen und Angst und führt daher zu pathologischen Kunden-Konsumenten-Beziehungen. Stabile und dauerhafte Beziehungen sind dagegen durch Vertrauen geprägt und ermöglichen so eine aus gegenseitigem Einverständnis entstehende Profilbildung. Für Samarajiva kann sich eine für beide Seiten fruchtbare Dauerbeziehung nur ergeben, wenn die informationelle Asymmetrie zwischen Individuum und Unternehmung abgebaut wird. Wirtschaftsunternehmen müssen von einer informationellen "Einbahnstraßenpolitik" Abschied nehmen, nach der möglichst viele Informationen über Kunden angesammelt werden, der Einzelne jedoch nur über geringe Information über das Unternehmen verfügt. Ziel muss es vielmehr sein, eine Atmosphäre des Vertrauens zu schaffen, in der die Privatsphäre des Individuums gewahrt bleibt, der Kunde aber durch genauere Kenntnis der Information Policy eines Unternehmens auf freiwilliger Basis und zu seinem eigenen Nutzen persönliche Informationen preisgibt.

So definiert Samarajiva Schutz der Privacy als "control of outflow of information (...) and control of inflow of information (...) it includes non-release to a third party of information yielded by one party unless with explicit consent" . Kann der Konsument darauf vertrauen, so sind die Voraussetzungen einer "consensual surveillance" gegeben und damit die Basis einer für beide Seiten fruchtbaren und produktiven Beziehung, in der die Beteiligten die nötige Kenntnis des Gegenübers besitzen.

3. Datenschutzaudits - eine Form sektoraler Selbstregulation

Bisherige bundesdeutsche Ansätze wirtschaftlicher Selbstinitiative beschränkten sich vor allem auf die von Medienverbänden und einigen Unternehmen gegründete Freiwillige Selbstkontrolle Multimedia Diensteanbieter e. V. , eine Instanz zur Kontrolle der Verbreitung rechtswidriger Inhalte im Internet. Zu diesem Zweck trafen sich auch Ende 1998 deutsche Provider auf einem Workshop des Bundeskriminalamtes , um eine gemeinsame Zusammenarbeit festzulegen.

Eine ganz neue und völlig andere Dimension wirtschaftlicher Eigeninitiative ergibt sich durch die Diskussion um die anstehende Umsetzung der EU-Datenschutzdirektive. Die an vielen Stellen am deutschen Datenschutzsystem orientierte Richtline beinhaltet jedoch auch materielle Neuerungen, wie beispielsweise die Förderung der Selbstregulierung: Die Mitgliedsstaaten haben vorzusehen, dass Berufsverbände und andere Vereinigungen gemeinschaftliche Verhaltensregeln ausarbeiten und Verfahren entwickeln . Ebenso soll nach Vorbild des seit April 1995 erfolgreich praktizierten Umwelt-Audits dieses Instrument auch für die Effektivierung des Datenschutzes nutzbar gemacht werden.

Mit der Idee eines Datenschutz-Audits werden mehrere Ziele verfolgt. Einerseits sollen die durch die ubiquitäre Verwendung moderner IuK-Technologien überforderten öffentlichen Datenschutzbeauftragten entlastet und somit ein Beitrag zur Kompensation bestehender Defizite in der Einhaltung des geltenden Datenschutzes geleistet werden. Anderseits soll dieses Instruments die Selbstverantwortung datenverarbeitender Stellen fordern und fördern, um dem gestiegenen Bewusstsein für Datenschutz und Datensicherheit Rechnung zu tragen.

Ein weiteres Ziel ist die Stimulierung des Wettbewerbs um Datenschutz als Qualitätsmerkmal. Datenschutz-Audit als Instrument eines verbesserten Datenschutzes und als Wettbewerbsfaktor fand so auch schon 1997 im Mediendienstestaatsvertrag Berücksichtigung:
"Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen".

Auch wenn neben dem Anreiz der Image-Werbung ("Tue Gutes und rede darüber") vor allem der Wettbewerbseffekt durch Teilnahme von Konkurrenten und die sich - selbst oder gerade bei Freiwilligkeit - entwickelnde Sogwirkung implizites Kalkül war, so sollte doch nach h.M. keine Produktwerbung damit betrieben werden. Denn im Gegensatz zu einem Gütesiegel wie beispielsweise dem "Blauen Engel" wird nicht ein spezifisches Angebot bewertet. Vielmehr versteht sich ein Datenschutz-Audit stattdessen "prozessbezogen" und hat als Ziel die Bewertung der Wandlungsfähigkeit des Managementsystems:
"In ihm soll die Fähigkeit eines Unternehmens überprüft und prämiert werden, flexibel auf die rasanten Veränderungen der Informations- und Kommunikationtechniken zu reagieren und die sich dadurch immer wieder neu stellenden Herausforderungen für den Datenschutz zu meistern". Belohnt und ausgezeichnet werden dann Anstrengungen und Leistungen, die über den gesetzlichen Minimalstandard hinausgehen. Zur Werbung dienen die Teilnahmebestätigungen und die veröffentlichten Ergebnisse.

Das Datenschutz-Audit selbst wird als ein dynamisches Lernsystem verstanden. Denn dadurch soll in den Unternehmen ein Datenschutzmanagementsystem erst etabliert und dessen sukzessive Verbesserung infolge wiederkehrender interner und externer Überprüfung erreicht werden. Auch wenn der Leitgedanke des Datenschutz-Audits eine auf Freiwilligkeit beruhende Stärkung der Eigenverantwortung und Selbstkontrolle ist, so ist dennoch eine rechtliche Rahmensetzung notwendig. Einerseits muß die Werbung mit den Teilnahmeerklärungen wettbewerbsrechtlich abgesichert sein, andererseits beruht die Glaubwürdigkeit eines Audits auf der Vertrauenswürdigkeit und dem Qualitätsstandard der externen Gutachter, deren Qualifikation und Zulassung darum gesetzlich geregelt sein sollten. Es zeigt sich hierbei wiederum die bereits oben angesprochene Verzahnung und gegenseitige Bedingtheit von staatlicher Regulierungsleistung und wirtschaftlicher Eigeninitiative.