Datenschutz

Nicht nur die fehlende Vertrautheit mit Computern, sondern auch zwei politische Systeme, die im 20. Jahrhundert auf dem heutigen deutschen Gebiet ihre Bevölkerung überwacht haben, haben einen Einfluss auf die Datenschutzbewegung gehabt. Tatsächlich ist Datenschutz auch in anderen Ländern ein Thema, allerdings in unterschiedlicher Ausprägung, obwohl die zuvor beschriebene Informatisierung des Lebens fast überall auftrat. Sicherheitsrechtliche sowie wirtschaftliche Aspekte verhinderten und verhindern noch immer, dass zum Beispiel die USA ähnliche Datenschutzgesetze hat wie Deutschland. Der Schutz des Staates und die damit verbundene Möglichkeit des Einsehens persönlicher Daten durch den Staat zum einen, aber auch das wachsende Wirtschaftssegment der Computertechnologie in den USA führten zu einem anderen Umgang mit Da- ten, der es bis heute unmöglich macht, internationale Gesetze zum Datenschutz zu vereinbaren. Noch heute wird in der deutschen Werbeszene darüber lamentiert, dass die amerikanischen Marktbegleiter deutliche Vorteile hätten, weil sie weniger strengen Datenschutzgesetzen unterliegen.

Grundlagen des Datenschutzes

Wie im Abschnitt über die Geschichte der Daten beschrieben, bedeutete die Volkszählung 83/87 eine Zäsur in der deutschen Datenschutzgesetzgebung. Das Bundesverfassungsgericht prägte den Begriff der informationellen Selbstbestimmung. Diese bedeutet, dass jeder Mensch selbst bestimmen kann, welche Informationen er wann von sich preisgeben möchte. Wenn ein Mensch nicht weiß, was wann über ihn gespeichert wird, so könnte er sein Verhalten anpassen, um mit Normen konform zu gehen (Panoptismus). Eine freie Gesellschaft zeichnet sich aber dadurch aus, dass jeder selbst bestimmt mitwirken kann.

Das Bundesdatenschutzgesetz ging seitdem von zwei Prinzipien aus:

  • Verbotsprinzip mit Erlaubnisvorbehalt: Das Erheben, Speichern und Nutzen von personenbezogenen Daten ist verboten, es sei denn, dass der Nutzer dies schriftlich erlaubt hat oder eine Rechtsgrundlage für einen bestimmten Nutzungsfall besteht.
  • Datensparsamkeit und Datenvermeidung:Es sollte vermieden werden überhaupt Daten zu speichern und wenn doch, dann so wenig wie möglich. Daten sollten gleichzeitig wenn möglich anonymisiert oder pseudonymisiert werden.

Personenbezogene Daten sind solche, die auf eine Person zurückschließen lassen, wie zum Beispiel ein Name, eine E-Mail-Adresse oder in Deutschland auch eine IP-Adresse. In Deutschland ist übrigens auch der Klarnamenszwang untersagt, sofern dies technisch möglich ist. Der Klarnamenszwang von Facebook ist also auf den ersten Blick unzulässig. Aber da die Daten von Facebook in Irland verarbeitet werden, gilt das irische Recht, nicht das deutsche. Die beiden oben genannten Prinzipien mögen dem Leser realitätsfremd vorkommen, erklären aber auch, warum manche Firmen eine große Vorsicht an den Tag legen. Durch die Datenschutzgrundverordnung wurden viele Bestandteile des Datenschutz modernisiert. Im Prinzip kann aber immer noch von dem Grundsatz der informationellen Selbstbestimmung ausgegangen werden.

Zwischen Anspruch und Wirklichkeit des Nutzerverhaltens

Auch wenn die Deutschen besonders sensibel bei dem Thema Daten sein wollen, so zeigt ihr Verhalten etwas anderes: 28 Millionen Deutsche sind aktive Nutzer einer Payback-Karte (Stand 2016). Bei jeder Vorlage der Karte werden die Daten über den Einkauf mit den persönlichen Daten des Nutzers, die er mit dem Ausfüllen des Antragsformulars freiwillig abgegeben hat, verknüpft. So entstehen sehr genaue Konsumdaten für jeden Nutzer, sei es nur über Warengruppen oder tatsächlich eine Liste der Produkte, die er gekauft hat. Zwar werden die laut Payback nicht an alle Partner weitergegeben, so dass jeder Partner nur die Daten über seine Kunden zur Verfügung gestellt bekommt, aber dennoch werden Kundengruppen spezifiziert:

PAYBACK [selektiert] auf anonymisierter Basis spezifische Kun- dengruppen, die sich durch ein ähnliches Einkaufsverhalten auszeichnen und dadurch an bestimmten Angeboten interessiert sein können (z.B. Familie mit Kleinkind, Single,…).

Individuelle Kundenprofile werden angeblich nicht erstellt. Aber jeder, der sich die verfügbaren Daten anschaut, versteht, dass hier eine kommerzielle Datenbank existiert, die mehr über jeden einzelnen weiß als einem lieb sein kann. Stellen wir uns einen Augenblick vor, dass die Daten aus Versehen gehackt werden: Wer möchte, dass auf einer Website steht, wie viel man wahrscheinlich verdient (das kann man anhand der Einkäufe relativ leicht nachvollziehen), was man so alles in den letzten Jahren gekauft hat und wann und wo? Ist zum Einlösen einer Prämie tatsächlich das Speichern all dieser Daten notwendig? Übrigens sind die Rabatte, die man mit dem Sammeln von Punkten mit einer Payback-Karte erhält, kaum vorhanden, zum Teil sind die Waren sogar teurer.

Ein weiteres Beispiel ist Facebook: Facebook sammelt nicht nur auf der Facebook-Seite Daten. Auf vielen Websites im Netz ist ein Like-Button vorhanden, und oft genug wird angezeigt, welche der Freunde diese Seite schon „geliked“ haben oder dass man der erste sein könnte, der diese „liked“. Facebook verfügt also nicht nur über die Daten, die man bei Facebook selbst angibt, sondern auch über Daten, auf welchen Seiten man sich so bewegt. Und da man sich anscheinend auch so gut wie nie bei Facebook abmeldet und meist auch auf mehreren Geräten eingeloggt ist, entsteht eine riesige Datensammlung.

Natürlich besitzt auch Google einen solchen Datenschatz. Android-Handys, Google-Suche, Seiten mit Google-AdSense-Werbung oder von der Google-Tochter DoubleClick ausgespielte Werbung, Google Mail, Google Maps, Google Voice Search, Seiten mit Google Analytics, und vieles mehr ermöglichen eine riesige Sammlung von Daten. Unter Google Ad Settings kann jeder sehen, was Google von einem weiß oder denkt zu wissen. Hier kann die personalisierte Werbung auch deaktiviert werden. Ob das Sammeln der Daten damit auch gestoppt wird, darüber wird keine Aussage getroffen.

Wer ist hier die Ware?

Bei allen diesen Beispielen gehen Benutzer einen Tausch ein: Sie bekommen einen Dienst kostenlos und geben dafür ihre Daten her. Zum Teil sind die Dienste wertlos ohne Nutzer-Daten, so dass man den Unternehmen gar keine Vorwürfe machen kann; wie könnte die Google Voice Search denn überhaupt verstehen, dass man gerade „OK Google“ gesagt hat, wenn das Android-Handy nicht die ganze Zeit zuhört? Mit den Daten wird Werbung personalisiert, so dass sie teurer verkauft werden kann, der Nutzer selbst wird also zur Ware. Aber auf den ersten Blick tut Werbung ja auch gar nicht weh, oder? Und was soll schon Schlimmes mit den eigenen Daten passieren?

Berühmt geworden sind in diesem Zusammenhang zwei Zitate des früheren Google-Chefs Eric Schmidt:

If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place. (Eric Schmidt 2009)

We know where you are. We know where you’ve been. We can more or less know what you’re thinking about. (Eric Schmidt 2010)

Wir brauchen nur in die deutsche Geschichte zurück zu blicken um zu verstehen, dass diese Äußerungen angsteinflößend sind, sie wurden zum Teil auch später revidiert. Auch gegenwärtig werden Argumente dafür hervorgebracht, die Privatsphäre des Bürgers zu reduzieren, wenn dafür mehr Sicherheit angesichts drohender Terrorakte gewährleistet werden kann. Ist das gut oder ist das schlecht? Auf schwierige Fragen gibt es keine einfachen Antworten.

Aber nicht nur Internetkonzerne haben spannende Daten. CarSharing-Anbieter wie DriveNow oder Telekommunikationsanbieter wie die Telekom wissen sehr genau, wann sich jemand wo aufhält, und durch die Vorratsdatenspeicherung werden viele dieser Daten auch noch für einen längeren Zeitraum gespeichert. Nicht schlimm? Sehr wahrscheinlich möchten einige Menschen nicht, dass diese Daten veröffentlicht werden, denn vielleicht hat man dem Partner etwas anderes gesagt, wo man sich gerade aufhält. Oder man ist von der Dienstreise früher zurück gekehrt und geht nicht mehr ins Büro, obwohl noch ein paar Stunden Arbeit abzuleisten wären.

Nun mag es gar nicht so schlecht klingen, wenn durch das Wissen der möglichen Überwachung mehr Ehrlichkeit entstünde, aber es muss gar nicht mal um Ehebetrug oder Widerstand gegen eine Staatsdiktatur gehen: Die wenigsten Nutzer werden zum Beispiel via Facebook verkünden, dass sie eine Drogenberatungsstelle, eine Eheberatung oder einen Psychotherapeuten benötigen. Diese Daten werden dennoch gespeichert, denn irgendwie muss der Termin dort ja vereinbart werden, und irgendwie muss man ja auch da hin kommen. Bei Google zum Beispiel durch die Google Maps Zeitachse, die genau speichert, wann man wo gewesen ist, und durch die Suchanfragen sowie angeklickten Ergebnisse. Bei dem Kommunikationsanbieter, sofern man via Mail oder Telefon Kontakt mit einer solchen Stelle aufgenommen hat. Bei DriveNow oder ähnlichem, wenn man mit einem solchen CarSharing-Angebot gefahren ist. Durch Fotos, die man an einem bestimmten Ort gemacht hat und die Daten über den Entstehungsort enthalten. Durch das Orten des Handys. So wurden einer Psychologin zum Beispiel zunächst ihre eigenen Patienten als Freunde auf Facebook vorgeschlagen, was sich noch damit erklären ließ, dass Facebook die Telefonnummer der Psychologin hatte und anscheinend eine Verknüpfung auf dieser Ebene stattfand, denn ihre Patienten hatten wahrscheinlich auch ihre Telefonnummer gespeichert. Unheimlich wurde es aber dann, als ihre Pa- tienten auch andere Patienten von ihr als Freunde vorgeschlagen bekamen. Die Psychologin vermutet, was allerdings nicht von Facebook bestätigt wurde, dass der Aufenthalt an einem gemeinsamen Ort als Signal verwendet wurde, um eine Beziehung zwischen zwei Personen herzustellen.

Doch wie sollen die Daten überhaupt an jemanden gelangen, der damit anderes als Werbung im Sinn hat? Als die Google Streetview-Autos durch Deutschland fuhren, erstellten sie nicht nur Fotos, sondern sammelten auch gleich Daten von den WIFI-Netzwerken auf der Strecke, laut Aussage von Google ein Versehen eines Mitarbeiters. Und Google steht mit solchen Fehlern nicht allein da: Im September 2016 wurde bekannt, dass Yahoo! 500 Millionen Datensätze von Nutzern als gestohlen melden musste. LinkedIn verlor 2012 Nutzerdaten an einen Hacker, das Ausmaß wurde aber erst 2016 wirklich bekannt. AOL stellte 2006 anonymisierte Suchmaschinen-Logdateien für die Forschung bereit und stellte wenige Stunden später fest, dass das keine gute Idee war; nur kurze Zeit später konnte eine Benutzerin anhand ihrer Suchanfragen identifiziert werden. Und ganz ohne Sicherheitsvorkehrungen kann man zum Beispiel die Wunschzettel von Amazon-Nutzern automatisiert auslesen und Profile erstellen, zum Teil sogar mit Ort, so dass sehr schnell klar wird, wo Shades of Grey am häufigsten gelesen wird.

Fazit

Zusammengefasst lässt sich feststellen, dass Datenschutz in Deutschland zwar groß geschrieben wird, die Deutschen aber freiwillig alle Hüllen fallen lassen, wenn sie dafür etwas bekommen, was ihnen nützlich erscheint und der Bequemlichkeit zum Vorteil gereicht. Die Nutzung des Tor-Browsers ermöglicht zum Beispiel das anonyme Surfen im Netz, aber wer die Geschwindigkeit und die Annehmlichkeiten des Chrome-Browsers entdeckt hat, dem wird es schwer fallen, auf den langsameren Tor-Browser zu wechseln.

Die Beispiele der Datensammler und mögliche Konsequenzen der Daten-Freigiebigkeit verdeutlichen auf der anderen Seite, dass der Umgang mit eigenen und fremden Daten eine große Verantwortung bedeutet. Was auch immer an Datenerhebung möglich ist, entspricht nicht unbedingt den gesetzlichen und vor allem ethischen Maßstäben.

Nächster Abschnitt: Keine Angst vor Daten!