Sie haben, weil Sie ein gesundheitsbewusster Mensch sind, auf Ihrem Smartphone eine Gesundheitsapp installiert. Eine solche App arbeitet mit künstlicher Intelligenz und fragt nach Symptomen und Beschwerden. Die App empfiehlt dann gegebenenfalls den Besuch bei einem bestimmten Arzt. Die Krankenkasse, die mit dieser App zusammenarbeitet, schickt Ihnen auch ein paar sonstige Versorgungsangebote. Das kann praktisch sein und viel Zeit sparen. Aber vielleicht haben Sie trotzdem etwas dagegen, wenn Ihre Gesundheitsdaten, die Sie der App anvertraut haben, ohne Ihre Erlaubnis an Facebook und Co. weitergereicht werden.

Weil Sie ziemlich viele Medikamente schlucken müssen, haben Sie sich eine Pillenweck-App zugelegt, die Sie an die Einnahme Ihrer Pillen erinnern soll. Vielleicht sind Sie ihr noch gar nicht böse, wenn sie einmal nicht funktioniert. Aller Anfang ist schwer, auch im Bereich des Digitalen. Aber Ihre digitale Geduld endet gewiss dann, wenn jemand in Ihre digitale Hausapotheke einsteigt und sieht, welche Psychopharmaka Sie schlucken, oder die Dosierung verändert. Wer haftet denn da eigentlich?

Es gibt ein kürzlich verabschiedetes neues Gesetz, das einen auf solche Gedanken bringt. Es sind keine abwegigen Gedanken. Es ist nämlich durchaus üblich, dass Gesundheitsapps die Daten ihrer Kunden an Facebook und Co. weitergeben. Krasse Fälle dieser Art wurden Ende 2018 und soeben wieder aufgedeckt. Der Markt für Gesundheitsdaten ist gigantisch und lukrativ. Datenschutz? Im Gesundheitssystem ist er seit jeher bescheiden: Er funktioniert in vielen klassischen Arztpraxen mehr schlecht als recht. Wenn das Passwort, das den Zugriff auf sensible Patientendaten erlaubt, "12345" lautet, ist das kein Datenschutz, sondern eine Farce.

Das neue Gesetz, das nun aus solcher Farce geltendes Recht macht, trägt den ganz und gar unverdächtigen Namen "Implantateregister-Errichtungsgesetz"; es wurde kürzlich im Bundestag verabschiedet und soll am 1. Januar in Kraft treten. Der Name tut so, als ging es nur um die Registrierung von Implantaten und um Fürsorge für den Patienten, darum also, ihn im Notfall vor Gefahren der bei ihm eingebauten Produkte warnen zu können. Solche Register sind unbestritten sinnvoll, weil man defekte Herzschrittmacher nicht zurückrufen kann wie defekte Autoteile. Wenn man aber die Gesetzesbegründung liest, traut man seinen Augen nicht. Der Patient, dem Implantate eingesetzt werden - ob künstliche Hüften oder Stents -, wird per Gesetz gezwungen, seine kompletten Patientendaten verarbeiten und zu allen möglichen Zwecken nutzen zu lassen. Er hat keine Wahl. Sein Recht auf Widerspruch wird ausgeschlossen. Die Gesetzesbegründung spricht ausdrücklich von einer "Beschränkung des Rechts auf informationelle Selbstbestimmung". Der Datenschutz, wie ihn die Europäische Datenschutzgrundverordnung besonders für sensible Gesundheitsdaten proklamiert, wird in diesem Gesetz weitgehend abgeschafft - aus Fürsorge gegenüber dem Patienten, wie Gesundheitsminister Jens Spahn (CDU) behauptet. Der Patient wird also aus Fürsorge entmündigt.

Der Datenschutz wird der Angst geopfert - der Angst vor dem Terror, der Angst vor der Krankheit

Das entspricht einem Argumentationsschema, wie man es im Bereich der inneren Sicherheit seit Langem kennt. Da werden, zur Vorsorge, Telefon- und Internetdaten auf Vorrat gespeichert, Computer durchsucht, da wird Kommunikation kontrolliert, da wird heimlich abgehört, gerastert, observiert, da werden Kontodaten abgefragt; da sollen künftig nicht nur, wie seit einiger Zeit, die Daten der Flugpassagiere, sondern auch die Daten der Kunden von Bahn-, Fernbus- und Schiffsreisenden an die Sicherheitsbehörden weitergemeldet werden. So sollen Terroristen aufgespürt werden: Man müsse halt auch als unbescholtener Bürger, so heißt es, auf kleine Freiheiten verzichten, auf dass die große Freiheit bewahrt werden könne. Weniger Datenschutz, so die Sicherheitspolitiker, bedeute mehr Sicherheit. Weniger Datenschutz, so die Gesundheitspolitiker, bedeute mehr Volksgesundheit. Der Datenschutz wird der Angst geopfert - der Angst vor dem Terror, der Angst vor der Krankheit. Dem Datenschutz geht es daher nicht gut in seinem fünfzigsten Jahr.

Vor 50 Jahren begann die Arbeit am hessischen Datenschutzgesetz, es war ein Leuchtturmgesetz, weltweit das erste seiner Art. Spiros Simitis, damals ein junger deutsch-griechischer Rechtsprofessor in Frankfurt, hat diesen Leuchtturm betrieben und gewartet. Er war 15 Jahre lang hessischer Datenschutzbeauftragter und wurde zum Pfadfinder für den Datenschutz weltweit. 1983 erschuf dann das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung. Die Karlsruher Richter wollten den Bürger "gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner Daten" schützen. Das war anrührend und weitsichtig, aber vergeblich.

Erst hat ein Großteil der deutschen Politik den Datenschutz als Täterschutz diskreditiert. Dann kam das Internet: Es hat zur Selbstverschleuderung aller nur denkbaren Persönlichkeitsdetails in Wort und Bild geführt. So ist aus der Datenaskese, die einst das Volkszählungsurteil forderte, eine Datenekstase geworden. So schrumpft und schrumpelt die Privatsphäre. An dieser Verschrumpelung arbeiten der Staat einerseits und Google, Facebook und Co. andererseits. Die Nutzer von Facebook, Twitter und Co. verdrängen, dass sie diese Dienste mit ihren Daten bezahlen.

Datenschutz schützt nicht abstrakte Daten, sondern konkrete Menschen. Es muss wieder das Bewusstsein dafür wachsen, dass er kein Firlefanz ist - und auch kein Gnadenrecht, das der Staat, Facebook und Co. gnädig gewähren, wenn es ihnen gerade passt. Es braucht eine Vitalisierung des Datenschutzes in der digitalen Welt.