---

Datenschutz im digitalen Zeitalter

Beginn:

08.12.2010

Eine strikte Reglementierung der Profilbildung, ein verbrieftes Widerspruchsrecht oder ein Verfallsdatum für Internet-Daten fordert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in seiner Rede zum baden-württembergischen Verbrauchertag. Zugleich ermahnt Peter Schaar die Verbraucher in seinem Beitrag: der Selbstdatenschutz ist eine unabdingbare Voraussetzung für einen wirkungsvollen Datenschutz im digitalen Zeitalter.

Das Internet ist heute ein Grundpfeiler der Kommunikations- und Informationsgesellschaft. Laut der kürzlich veröffentlichten ARD/ZDF-Onlinestudie 2010 sind inzwischen mehr als zwei Drittel aller Deutschen online. Über 75 Prozent der User nutzen das Internet täglich – in der Altersgruppe der 14 bis 29-Jährigen sind es sogar über 96 Prozent.

Die Chancen, die uns das Internet eröffnet, sind vielfältig und faszinierend. Eine Kommunikation ohne Bindung an Ort und Zeit und die fast grenzenlose Verfügbarkeit von Informationen und Wissen haben unsere Gesellschaft nachhaltig beeinflusst und unsere Handlungsmöglichkeiten erweitert.

Gleichzeitig erleben wir allerdings auch eine völlig neue Qualität der Bedrohung unseres Persönlichkeitsrechts. Diese Gefährdung beruht auf einer Verkettung mehrerer Umstände, von denen die folgenden drei Ursachen wohl die wichtigsten sind:

1. Digitale Dienste laden zur Entprivatisierung persönlicher Daten ein. Mitgliederprofile in sozialen Netzwerken, private Fotos in Onlineportalen, Befindlichkeitsmitteilungen in Blogs und Häuserfassaden bei Google Street View – all das, was früher einmal Teil der Privatsphäre war, wird heute von der Netzgemeinschaft öffentlich beobachtet und kommentiert. Vor allem bei vielen jüngeren Nutzern besteht eine besorgniserregende Bereitschaft, einem unbekannten Adressatenkreis persönliche Informationen mitzuteilen.

Andererseits werden in unserer heutigen Informations- und Kommunikationsgesellschaft persönliche Informationen immer mehr als Währung verstanden, durch deren Preisgabe sich vermeintlich kostenlose Dienste erwerben lassen, von der Suchmaschine bis zum sozialen Netzwerk. Der Datenschutz bleibt hierbei häufig auf der Strecke. Dabei belegen zahlreiche Datenpannen immer wieder, dass unsere Daten im Netz nicht sicher sind.

2. Eine weitere Gefahr für das Recht auf informationelle Selbstbestimmung gründet in dem großen Interesse, das viele Unternehmen, aber auch der Staat, unseren Daten entgegen bringen. Personenbezogene Daten, die wir oder andere über uns in das Internet stellen, lassen sich mit Daten über das Nutzungsverhalten verknüpfen und zu Profilen zusammenführen.
Diese Profile können kommerziell oder auch von staatlichen Stellen genutzt werden - zum Beispiel für adressaten- und anlassbezogene Werbung oder – staatlicherseits – zur Verdachtsgewinnung.

Wer weiß, welche Artikel wir im Internet kaufen, was wir in sozialen Netzwerken als Vorlieben angeben und wer unsere „Freunde“ sind, erhält ein recht genaues Bild über uns und unsere Persönlichkeit. Digitale Daten eignen sich für Profilbildungen in besonderem Maße, weil sie im Internet in hoher Zahl vorhanden und relativ einfach zu finden sind. Praktisch mit jedem Mausklick hinterlassen wir unbemerkt Datenspuren, die unter Einsatz von Webanalysediensten Rückschlüsse über Verweildauer und Inhalt der besuchten Webseiten und damit unsere Interessen zulassen. Es besteht daher ein nicht unerheblicher Anreiz, mehr Daten von uns zu erheben als tatsächlich erforderlich ist.

3. Und schließlich stellt die fehlende Kontrollierbarkeit der persönlichen Informationen durch die Betroffenen selbst eine Bedrohung für unsere Rechte dar. In der digitalen Welt, in der sich Informationen in Sekundenschnelle übermitteln und kopieren lassen, verliert der Betroffene die Verfügungsgewalt über seine Daten, sobald er diese ins Netz eingestellt hat. Dies liegt nicht zuletzt an der Internationalität der Datenströme. Heute werden Daten in Deutschland erhoben, in die USA transferiert, dort gespeichert und in einem dritten Land verarbeitet. Niemand weiß mehr genau, wo sich seine Daten befinden und an wen er sich wenden kann, um seine Rechte als Betroffener geltend zu machen.

Angesichts dieses Gefährdungspotentials stellt sich die Frage, wie ein effektiver Datenschutz im digitalen Zeitalter ausgestaltet sein muss, damit der Datenschutz nicht auf der Strecke bleibt. Selbstverständlich beansprucht das Recht auf informationelle Selbstbestimmung auch im 21. Jahrhundert Geltung – in der realen wie in der digitalen Welt. Dies gilt umso mehr, als die Wahrung des grundrechtlich verankerten Rechts der informationellen Selbstbestimmung eine Funktionsbedingung einer menschenwürdigen Informationsgesellschaft ist. Das Datenschutzrecht in seiner heutigen Form kann die Sicherheit und Integrität unserer Daten im Internet allerdings nur noch unzureichend gewährleisten. Es stammt in seinen Grundstrukturen aus den 70er Jahren des vergangenen Jahrhunderts – also einer Zeit, in der die Möglichkeiten der Digitalisierung von Daten kaum zu erahnen waren.

Zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen im Netz bedarf es daher internetspezifischer Instrumente und besonderer Schutzmechanismen. Die Grundpfeiler einer solchen datenschutzrechtlichen Internetstrategie umfassen:

1. Eine strikte Reglementierung der Profilbildung
Es muss der Grundsatz gelten, dass Profile ohne Wissen der Betroffenen nicht gebildet werden dürfen. Von diesem Grundsatz darf nur ausnahmsweise, das heißt bei Vorliegen einer gesetzlichen Rechtsgrundlage abgewichen werden, etwa wenn ein konkreter Verdacht einer schwerwiegenden Straftat vorliegt. Ansonsten dürfen Daten aus unterschiedlichen Bereichen nur zusammengeführt werden, wenn die Betroffenen nach einer umfassenden Information über den Umfang, den Zweck und die Verwendung des Profils unter Benennung der verantwortlichen Stelle eingewilligt haben.

2. Betroffenenrechte stärken
Effektive und leicht durchzusetzende Betroffenenrechte sind der Dreh- und Angelpunkt zur Durchsetzung des Datenschutzes. Die Datenverarbeitung muss für die Betroffenen wieder transparenter werden. Dabei sind sehr umfangreiche, unübersichtliche Datenschutzhinweise und Nutzungsbedingungen nicht immer hilfreich. Vielmehr müssen die Kerninformationen, die die Betroffenen zur Ausübung ihrer Rechte benötigen, einfach zu verstehen und an prominenter Stelle des Internetauftritts platziert sein. Kaum verständliche und auf der Webseite versteckte Datenschutzerklärungen, wie sie heute oft anzutreffen sind, schaffen indes das Gegenteil von Transparenz. Zudem sollte die Möglichkeit der elektronischen Ausübung der Betroffenenrechte im Internet selbstverständlich sein. So sollte den Betroffenen die Möglichkeit eingeräumt werden, elektronisch - über das Internet - zu prüfen, welche Daten über die eigene Person gespeichert sind, woher die Daten stammen und an wen sie übermittelt wurden. Medienbrüche, die dadurch entstehen, dass die Einwilligung elektronisch erteilt, für den Widerruf aber die Schriftform, möglicherweise sogar ein Einschreiben mit Rückschein gefordert wird, sind in der digitalen Welt überflüssig und behindern die Betroffenen bei der Ausübung ihrer Rechte.

3. Technologischer Datenschutz
Die Missbrauchsfälle der letzten Jahre haben deutlich werden lassen, dass letztlich nur solche Daten absolut geschützt sind, die nicht gespeichert wurden. Deshalb kommt gerade im Internet den Grundsätzen der Datenvermeidung und der Datensparsamkeit besondere Bedeutung zu. Die Hersteller und Anwender von IT-Systemen sind in der Pflicht, diesen Anforderungen möglichst frühzeitig - das heißt bereits in der Entwurfsphase technologischer Systeme und elektronischer Geschäftsmodelle - Rechnung zu tragen (Privacy by Design). Aber nicht nur die Entwickler und Hersteller, auch die Diensteanbieter müssen verpflichtet werden, bereits bei der Gestaltung von Datenverarbeitungssystemen die Belange des Datenschutz frühzeitig zu berücksichtigen und Dienste anzubieten, die sich strikt daran orientieren, nur die erforderlichen Daten zu erheben und zu speichern. Daher kommt auch datenschutzfreundlichen Grundeinstellungen (etwa in sozialen Netzwerken), von denen der Betroffene selbstbestimmt abweichen kann, zunehmende Bedeutung zu (Privacy by Default). Dies ist leider noch zu selten der Fall, was auch daran liegt, dass das Gebot der Datensparsamkeit bislang nicht sanktionsbewehrt und daher ein zahnloser Tiger ist.

4. Widerspruchsrecht gegen die Veröffentlichung personenbezogener Daten
Angesichts vielfältiger Veröffentlichungen personenbezogener Daten im Internet sollte darüber nachgedacht werden, den Betroffenen ein allgemeines Widerspruchsrecht hiergegen einzuräumen - natürlich unter Wahrung der Meinungs- und Informationsfreiheit. Ein solches Widerspruchsrecht könnte auch dann gelten, wenn die Daten zwar nicht namentlich zugeordnet wurden, jedoch die realistische Möglichkeit besteht, dass eine Zuordnung durch den Betreiber eines Dienstes oder durch Dritte vorgenommen wird. Um eine derartige Widerspruchsmöglichkeit zu erleichtern, ist auch die Schaffung eines Widerspruchsregisters erwägenswert, das den Betroffenen die Möglichkeit gibt, bei einer zentralen und vertrauenswürdigen Stelle Widerspruch gegen die Veröffentlichung ihrer personenbezogenen Daten im Internet einzulegen, etwa soweit es sich um Geoinformationen handelt. Ein solches Widerspruchsregister würde Gewähr dafür bieten, dass die Betroffenen nur ein einziges Mal der Veröffentlichung ihrer Daten mit Wirkung gegenüber allen Anbietern vergleichbarer Dienste widersprechen müssen. Ein Widerspruch gegen die Veröffentlichung einer Hausfassade im Internet hätte dann beispielsweise Bindungswirkung für Google Street View und alle vergleichbaren Geodatendienste, ohne dass sich der Betroffene einzeln an alle Dienste wenden müsste. Eine solche Vereinfachung wäre auch aus verbraucherschutzrechtlicher Sicht sicherlich begrüßenswert.

5. „Digitaler Radiergummi“
So einfach es heute ist, vielfältige Daten im Internet einer weltweiten Öffentlichkeit bekanntzumachen, so schwierig ist es, diese Informationen wieder aus dem Netz herauszubekommen. Deshalb halte ich Überlegungen für sinnvoll, die Gültigkeitsdauer bestimmter Daten im Internet durch Anbringung eines Verfallsdatums zu begrenzen und sie nach Erreichen dieses Verfallsdatums zu löschen. Dabei bin ich mir im Klaren darüber, dass ein solches "Recht auf Vergessenwerden" technisch nicht 100-prozentig umgesetzt werden kann, insbesondere weil sich möglicherweise Kopien der Originaldaten weiterhin im Umlauf befinden können. Trotzdem würde damit die Situation der Betroffenen deutlich verbessert, denen solcherart "ungültige" Informationen nicht mehr vorgehalten werden dürfen (Verwertungsverbot).

6. Schaffung eines internationalen Regelwerks
Die globale Struktur des Internets verlangt nach weltweit gültigen Regelungen. Rein nationalen Lösungen fehlt es an Durchsetzungskraft, weil der Transfer digitaler Daten vor Landesgrenzen nicht Halt macht. Daten, die in Deutschland erhoben, aber im Ausland verarbeitet werden, sind der Aufsicht der Datenschutzbehörden entzogen. Betroffene stoßen auf größte Schwierigkeiten, ihre Datenschutzrechte gegenüber ausländischen Diensteanbietern geltend zu machen und durchzusetzen. Ich hoffe, dass die anstehende Revision der Europäischen Datenschutzrichtlinie hier zu substantiellen Verbesserungen führen wird.

Neben der dringenden Notwendigkeit, das Datenschutzrecht endlich internetfähig zu machen, darf schließlich aber auch der Aspekt der Eigenverantwortung nicht aus den Augen verloren werden. Die Nutzer des Internets können zumindest teilweise selbst beeinflussen, welche Informationen sie von sich im Netz Preis geben und welches „Bild“ sie im Internet abgeben. Damit einher geht auch die Verantwortung der Nutzer, dafür Sorge zu tragen, sich selbst nicht zu gefährden. Jeder Einzelne ist daher zu einem bewussten Umgang mit seinen persönlichen Daten aufgerufen. Die durch Medienkompetenz vermittelte Möglichkeit zum Selbstdatenschutz ist unabdingbare Voraussetzung für einen wirkungsvollen Datenschutz im digitalen Zeitalter.

Adresse