Datenschutz – Das Kleine Einmaleins

Big Brother
is watching you!

Von Moritz Pail

Stell dir vor, du hast einen großen Bruder. Einen fürsorglichen großen Bruder, der dich überallhin begleitet und stets ein Auge auf dich wirft. Manchmal verstehst du zwar nicht ganz, wieso du ihn so interessierst. Aber du hast ja nichts vor ihm zu verheimlichen. Also lässt du ihn einfach. Außerdem verhält er sich ohnehin unauffällig; die meiste Zeit bemerkst du ihn gar nicht. Wenn du also in der Früh aufstehst und ein erstes Lebenszeichen von dir gibst, spitzt er bereits seine Ohren. Am Frühstückstisch beim Zeitunglesen sitzt er dann neben dir und liest unauffällig mit. Wenn du dich fertig machst und das Haus verlässt, dann begleitet er dich. Dabei merkt er sich genau, wohin du wann gehst. Gehst du einkaufen, dann schaut er, in welcher Abteilung du die meiste Zeit verbringst, folgt dir durch den Supermarkt und notiert genau, was und wie viel du wovon kaufst. Triffst du deine Freunde, dann will er wissen, mit wem und wo du bist. Selbst wenn du am Abend nach Hause kommst und dir eine Pizza bestellst, notiert er sich das. Und wenn du’s dir dann auf der Couch gemütlich machst, deine Pizza isst, Netflix schaust und im Internet surfst, ist er sowieso immer dabei.

Klingt noch immer nicht unheimlich? Dann stell dir doch mal vor, dein großer Bruder ist in Wahrheit ein großes Unternehmen oder gar der Staat. „Big Brother is watching you!“, heißt es dazu auch schon in George Orwells Klassiker „1984“, der bereits vor 70 Jahren die Dystopie eines totalitären Überwachungsstaates beschrieb. Tatsächlich scheint sein Roman gerade heute so aktuell wie nie zuvor.

Ein totalitärer Staat versucht alle Bereiche des Lebens zu kontrollieren. Er lässt keine anderen Meinungen oder Parteien zu und ist damit das Gegenteil eines demokratischen Staates.

Noch nie wurden wir so genau beobachtet wie heute: Während die Welt um uns herum immer „smarter“ wird, werden wir immer durchsichtiger und schreiten in diesem Sinne dem Gläsernen Menschen mit erschreckendem Tempo entgegen.

Der Gläserne Mensch ist ein oft genannter Begriff im Datenschutz. Er soll als Metapher für einen vollständig durchleuchteten, überwachten Menschen stehen.

Der metaphorische große Bruder war keine Übertreibung. Nein, vielmehr beschreibt er bereits den Status Quo, den großen Bruder unserer Zeit: das Smartphone. Immer und überall erreichbar heißt nun mal auch immer und überall abhörbar. Doch nicht nur das Handy ist parat, mittlerweile wird alles „smart“. Alle nur erdenklichen Gegenstände werden mit Sensoren ausgestattet, die ihre Umgebung erfassen und die gesammelten Daten über das Internet mit Menschen und Maschinen teilen. Durch die voranschreitende Digitalisierung können immer mehr Tätigkeiten über das Internet erledigt werden, man denke etwa an E-Banking oder Online-Shopping.

Und so auch alle damit verknüpften Daten. Diese Daten werden genauso wie die Daten aus der „smarten“ Umgebung gesammelt, ausgewertet und in Profilen gespeichert, die den Verbrauchern zugeordnet werden. Wie diese Profile aber genau erstellt werden, das bleibt für sie ein Geheimnis; ja in den meisten Fällen hat man nicht einmal Einsicht in die Datenprofile. Im besten Fall werden diese Profile „nur“ dazu benutzt, um das Verhalten der Verbraucher zu manipulieren. Mit gezielter Werbung oder Angeboten zum Beispiel. Im Extremfall könnten Verbraucher dadurch aber auch diskriminiert werden. Es heißt dann vielleicht: „Sorry, du bekommst kein Konto, keinen Kredit und keine Wohnung, nachdem du dich letzten Dienstag beim Poker so verzockt hast. Und die günstigen Tarife für deine Krankenversicherung können wir dir nach all dem Wodka und nächtlichen McDonald’s-Besuchen auch nicht geben.“

An all jene, die also sagen: „Datenschutz interessiert mich nicht – Ich habe doch sowieso nichts zu verbergen!“ Würdest du auch deine Gesundheitsdaten, E-Mails oder Bankdaten einfach so mit fremden Personen teilen und sie dann frei über dich urteilen lassen? Das ist nämlich genau das, was passiert, wenn man seine Daten nicht schützt. Die Daten mögen einem vielleicht jetzt ungefährlich vorkommen oder gegenwärtig nicht gegen einen verwendet werden, aber sie können auf ewig gespeichert werden – und wer weiß, wer sie eines Tages in die Hände bekommt oder wer in dreißig Jahren an der Regierung ist. Datenschutz bedeutet nun einmal nicht nur, seine Daten zu schützen, sondern vor allem auch, sich und seine Freiheit zu schützen – zu schützen vor Manipulation, Stigmatisierung und Benachteiligung. Darum ist Datenschutz in der EU auch ein Grundrecht: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es dazu in der Grundrechtecharta der EU. Wenn Datenschutz also sogar ein Grundrecht in der EU darstellt, wie konnte es dann zu unserer gegenwärtigen Situation kommen?

Eine neue Datenschutzverordnung muss her

Als die deutsche Bundeskanzlerin Angela Merkel sagte: „Das Internet ist für uns alle Neuland“, machte sie sich damit zum Gespött im Netz. Dabei hatte sie gar nicht einmal Unrecht – zumindest, wenn sie mit „uns“ die Politik meinte. Nach dem Aufkommen des World Wide Web in den 90er Jahren legte das Internet eine rasante Entwicklung hin. So rasant, dass in vielerlei Hinsicht politische und rechtliche Regulierungssysteme bei dieser Entwicklung nicht mithalten konnten. Die vor 2018 letztgültige europaweite Datenschutzverordnung stammt so beispielsweise noch aus dem Jahre 1995 (Datenschutzrichtlinie 95/46/EG). Damals war das Internet noch etwas völlig anderes als das, was es heute ist: Amazon steckte gerade noch in seinen Kinderschuhen, Google, YouTube oder Facebook existierten noch nicht und von Praktiken wie dem in der Einleitung erwähnten Profiling war noch keine Rede. Es brauchte also Neuerungen. Damit die EU also auch heute, zu Zeiten des Internets und der „smarten“ Geräte, noch unser Recht auf Datenschutz gewährleisten kann, hat sie ein neues, viel diskutiertes Gesetz beschlossen: die Datenschutzgrundverordnung, kurz „DSGVO“.

Profiling bezeichnet die zweckmäßige Erstellung des Gesamtbildes einer Persönlichkeit durch das Zusammenführen von Daten sowie deren anschließende Analyse und zweckgebundene Auswertung.

Die DSGVO

Die EU-Datenschutzgrundverordnung wurde 2016 beschlossen und ist am 25. Mai 2018 endgültig in Kraft getreten. Sie regelt die behördliche sowie geschäftsmäßige Verarbeitung von personenbezogenen Daten (z.B. Name, Adresse, E-Mail, IP-Adresse) und gilt einheitlich in ganz Europa. Das war davor nicht der Fall, denn vor der DSGVO hatte jeder Staat sein eigenes Datenschutzgesetz. Dementsprechend ist aber auch nicht alles, was in der DSGVO steht, ganz neu – vieles davon war beispielsweise bereits davor im deutschen oder österreichischen Datenschutzgesetz festgeschrieben. Obwohl die Verordnung natürlich Behörden, Unternehmen und Vereine betrifft, ist sie vor allem zum Schutz der Verbraucher gedacht. Wichtig ist auch zu wissen, dass, obwohl das Wort „Daten“ in unserem Sprachgebrauch häufig mit dem Internet assoziiert wird, die Verordnung ebenso offline für personenbezogene Daten gilt – d.h. auch analog gespeicherte Informationen, wie z.B. in Papierform, sind betroffen. Der komplette Gesetzestext der Verordnung umfasst 99 Artikel und ist dementsprechend lang. Ganz allgemein gilt mit der DSGVO aber das Verbotsprinzip: „Die Verarbeitung personenbezogener Daten ist prinzipiell verboten, wenn sie nicht ausdrücklich erlaubt ist.“ Während sie Verbrauchern damit mehr Rechte versichert, bedeutet die DSGVO für Datenverarbeiter gleichzeitig natürlich auch einen erheblichen bürokratischen und zum Teil auch finanziellen Mehraufwand. Das führte in Folge zu den vielen kontroversen Diskussionen rund um die Verordnung.

Die DSGVO aus Sicht der Verbraucher – ein Schritt in die richtige Richtung

Die neue Datenverordnung soll den EU-Bürgern endlich die Hoheit über ihre Daten zurückgeben. Dazu sichert das Gesetz den Verbrauchern, also dir und mir, eine Vielzahl an Rechten zu:

Durch die DSGVO musst du, bis auf wenige Ausnahmen, ausdrücklich zur Verarbeitung deiner Daten zustimmen, und zwar für jeden Zweck gesondert. In Fällen, in denen deine Daten genutzt werden, ohne dass deine Einwilligung erforderlich war, hast du das Recht auf Widerspruch, um dich gegen die ungewollte Datenverarbeitung zu wehren. Anbieter sind außerdem dazu verpflichtet, ihre Produkte oder Dienstleistungen von vornherein so einzustellen, dass möglichst wenige deiner Daten verarbeitet werden, sodass du dafür nicht ewig in den Einstellungen suchen musst („Privacy by Default“). Besonders sensible Daten (z.B. Gesundheitsdaten, Angaben zu deiner sexuellen Orientierung oder Daten über deine politischen Ansichten) müssen zudem besonders geschützt werden.

Damit du weißt, welche Daten ein Unternehmen über dich gesammelt hat, kannst du dich durch dein Recht auf Auskunft mit einer einfachen Mail danach erkundigen. Innerhalb eines Monats muss dir dann Auskunft gegeben werden, welche Daten zu welchem Zweck gespeichert und an wen und zu welchem Zweck sie an Dritte weitergegeben wurden. Sind deine Daten falsch oder unvollständig, kannst du verlangen, diese zu korrigieren, zu vervollständigen oder eine von dir verfasste Erklärung zu den Daten hinzuzufügen (Recht auf Berichtigung). Werden deine Daten für den ursprünglichen Zweck nicht mehr gebraucht, dann hast du außerdem das Recht, diese löschen zu lassen (Recht auf Löschung).

Hält sich ein Datenverarbeiter nicht an diese Regelungen oder reagiert nicht auf deine Anliegen, dann kannst du dich bei deiner nationalen Datenschutzbehörde beschweren oder selbst klagen. Unternehmen drohen dann hohe Strafzahlungen von bis zu 20 Millionen Euro oder vier Prozent ihres weltweiten Jahresumsatzes. Der kleine Einzelhändler um die Ecke muss aber selbstverständlich keine Angst vor Strafzahlungen in dieser enormen Höhe haben – bei der Festlegung des Strafmaßes gilt das Prinzip der Verhältnismäßigkeit: Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit sollen berücksichtigt werden.

Das mag jetzt alles erstmal gut und schön klingen. Es soll aber nicht heißen, dass das Problem des Datenschutzes damit gelöst ist. Viele Experten bemängeln etwa, dass die Verordnung zu abstrakt sei, über zu viele Ausnahmen verfüge und damit effektiv keinen ausreichenden Schutz biete. Alexander Roßnagel, ein deutscher Rechtswissenschaftler, meinte etwa, die DSGVO ignoriere „alle modernen Herausforderungen für den Datenschutz wie Soziale Netzwerke, Big Data, Suchmaschinen, Cloud Computing“. Eine Vielzahl der Unternehmen in Österreich und Deutschland hat die Vorgaben der DSGVO bis dato außerdem noch immer nicht erfüllt. Österreich weichte die Verordnung noch zusätzlich auf: Hierzulande wird bei Verstoßen lediglich verwarnt anstatt gestraft – dafür könnte Österreich jetzt selbst ein EU-Verfahren drohen.

Die DSGVO aus Sicht der Behörden, Vereine und Unternehmen – eine bürokratische Unsinns-Verordnung

Für Unternehmen und andere Daten erhebende Organisationen bedeutet die neue Verordnung vor allem eins: Arbeit. Denn mit der Umsetzung der neuen Pflichten ist meist ein erheblicher Mehraufwand verbunden. Es müssen Datenschutzerklärungen aufgesetzt werden, bestehende Kunden oder Mitglieder müssen alle einzeln (erneut) in diese einwilligen und dann muss man sich auch noch um eventuelle Anfragen rund um Auskunft, Berichtigung oder Löschung kümmern. Wird diesen Pflichten nicht nachgegangen, kann das hohe Strafen nach sich ziehen.

Vor allem Vereine und kleine oder teils auch mittlere Unternehmen sehen sich durch die neue Verordnung benachteiligt. Viele von ihnen seien schlicht überfordert durch den großen Aufwand oder haben Angst vor Konsequenzen bei unabsichtlichen Verstößen in Anbetracht der hohen Strafen. Für Kritiker ist die DSGVO damit ein Schuss ins eigene Bein. Internetgiganten wie Facebook, Amazon, Google oder YouTube, die man damit eigentlich in die Mangel nehmen wollte, hätten ohnehin die Ressourcen, um sich schnell an die neuen Bestimmungen anzupassen und auch um weiterhin Schlupflöcher zum Umgehen der Verordnungen zu finden. Für kleine Betriebe oder Start-Ups, würde die DSGVO, so argumentieren die Kritiker, hingegen ein großes Hindernis darstellen, das ihnen die Etablierung am Markt erschwert. Den Internetgiganten Konkurrenz zu machen, würde damit noch schwerer werden; das Spiel für diese dafür umso leichter.

Ohne Datenschutz keine Demokratie

Wie viel die DSGVO tatsächlich gebracht hat, wird man erst in den kommenden Jahren durch Evaluierungen feststellen können. Sicher ist aber wohl, dass das Thema des Datenschutzes damit noch nicht gelöst wurde. Gut an der Verordnung war aber allein schon die Tatsache, dass sie das Thema einmal mehr in die öffentliche Diskussion gebracht hat. Denn gerade in Zeiten der Digitalisierung scheint der Begriff der Privatsphäre im Wandel zu stehen: Durch unsere „smarten“ Wegbegleiter, dem Drang zur Quantifizierung aller nur erdenklichen Prozesse zur ewigen Optimierung, aber vor allem auch durch eine noch nie dagewesene Bereitwilligkeit, Informationen über sich selbst freiwillig zu teilen, produzieren wir mehr Daten denn je. Unbestreitbar bieten diese Unmengen an Informationen ein enormes Potenzial – speziell dann, wenn sie mit anderen Innovationen wie zum Beispiel künstlicher Intelligenz in Verbindung gebracht werden. Man denke etwa an die Forschung.

Wie sehr dieses Potenzial aber auch missbraucht werden kann, zeigt das Beispiel China. Dort scheint Orwells Szenario eines totalitären Überwachungsstaates Realität zu werden. Durch so gut wie vollständige Abwesenheit von Datenschutz wird der Gläserne Mensch in China zum staatlich gesteuerten Menschen: Bürger stehen dort nämlich unter dauernder Überwachung – alles, was sie tun, wird durch ein Social-Credit-System, also eine Art „soziales Punktesystem“ überwacht. Dazu fließen Daten aus ihren Finanzen, Social-Media-Konten, ihrer Krankenakte und ihrem Strafregister sowie sonstige Daten zu ihren Verhaltensweisen in ein Profil zusammen, das dann mit Punkten bewertet wird. China will mit dem System erwünschtes und unerwünschtes Verhalten seiner Bürger beeinflussen. Wer sich nicht konform verhält, bekommt ein schlechtes Rating und damit schwerer einen Kredit, eine Wohnung oder einen Kindergartenplatz, muss um seinen Job bangen oder darf vielleicht nicht mehr mit dem Zug fahren, weil er sich auf der letzten Reise daneben benommen hat.

Doch man muss gar nicht bis China schauen. In Europa gibt es schon Gesetze, bei denen die Verletzung des Datenschutzes mit der nationalen Sicherheit legitimiert wird, zum Beispiel das Polizeiaufgabengesetz in Bayern. Man wolle die Bevölkerung doch nur vor Gefahren wie dem Terrorismus beschützen, heißt es dann beispielsweise zur Rechtfertigung. Auch in Österreich wurde erst vergangenes Jahr, durch ein Gesetzespaket für den Ausbau von Überwachungsmaßnahmen, die Videoüberwachung erweitert und mit der Arbeit an einem Bundestrojaner begonnen. Auch hierbei werde die Überwachung durch den vermeintlichen Schutz der Bürger legitimiert. Dabei fällt jedoch potenziell ein Jeder unter Generalverdacht. Wer traut sich denn dann noch, etwas zu sagen oder seine Meinung kundzutun? Viel zu groß wäre die Angst vor gesellschaftlichem Ausschluss oder gar politischer Verfolgung. Dabei lebt Demokratie doch gerade von verschiedenen Meinungen, Ideen und Gedanken. Es ist doch gerade dieser Ideenwettbewerb, durch den im Idealfall dann Lösungen und Entscheidungen entstehen. Besonders wichtig sind dabei eben auch neue Perspektiven, ungewöhnliche Meinungen oder unkonventionelle Ansätze, denn erst davon wird der Wettbewerb belebt. Ohne sie würde die ohnehin schon vorherrschende Meinung nicht herausgefordert werden.

Gerade um eigene Ideen und Meinungen, die vom Mainstream abweichen, zu entwickeln, braucht es doch einen geschützten Raum zur freien Entfaltung von Ideen. Privatsphäre ist darum unabdingbar für eine funktionierende Demokratie. Oder kurz: Keine Demokratie ohne Privatsphäre. Keine Privatsphäre ohne Datenschutz. Ohne Datenschutz keine Privatsphäre. Ohne Privatsphäre keine Demokratie. Man kann es drehen und wenden, wie man will: ohne (wirklich guten) Datenschutz keine Demokratie!

Schütze dich darum am besten jetzt gleich. Wirklich gute Tipps dazu findest du hier.