Datenschutz:

„Es gibt keine belanglosen Daten“

von am 20.02.2014 in Allgemein, Archiv, Datenschutz, Internet, Netzpolitik, Netzpolitik, Plattformen und Aggregatoren, Rede, Social Media

<h4>Datenschutz:</h4> „Es gibt keine belanglosen Daten“
Andrea Voßhoff (CDU), Bundesbeauftragte für den Datenschutz und die Informationsfreiheit I © BfDI

„Ich habe doch nichts zu verstecken – Warum meine Daten wertvoll und schützenswert sind“

20.02.14 Rede von Andrea Voßhoff (CDU), Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

„Ich habe doch nichts zu verstecken“ – dieser Ausdruck individueller Sorglosigkeit gegenüber der Offenbarung der eigenen Person, Privatsphäre und Persönlichkeit wird immer wieder als reflexartiger Abwehrmechanismus gegen den Datenschutz angeführt. Als Antithese zum Datenschutz ist der Einwand wohl so alt wie der Datenschutz selbst.

 – Es gilt das gesprochene Wort –

In unserer entprivatisierten – oder treffender: sich entprivatisierenden – Gesellschaft gewinnt die Aussage aber eine neue Qualität, weil sie scheinbar zu einem Massenphänomen, einem gesellschaftlichen Konsens, geworden ist.

Wer freizügig persönliche Vorlieben in sozialen Netzwerken öffentlich macht, wer im Netz scheinbar anonym private Details mit Anderen austauscht, wer die Darstellung der eigenen Person als Teil der Selbstverwirklichung begreift, den scheint der Schutz seiner Daten nicht allzu sehr zu kümmern.

Aber ist es tatsächlich so, dass wir bei der Nutzung der Annehmlichkeiten des Internets, sei es Mailen, Chatten oder Surfen, nichts zu verbergen haben? Sind wir in der Lage, die Reichweite und Konsequenzen unseres Handelns im Netz zu überblicken?

Schnell erweist sich die lapidare Aussage, nichts zu verstecken zu haben, als – ich denke, die Formulierung ist erlaubt – kurzsichtig, falsch und auch gefährlich. Sie gaukelt eine Autonomie des Einzelnen vor, die es im Netz wegen der fehlenden Steuerungsmöglichkeiten über die Verarbeitungskontexte und -prozesse aber nicht gibt.

Es geht hierbei in erster Linie nicht um die Inhalte, die Nutzer aktiv und selbstbestimmt im Internet preisgeben, sondern um die hintergründige Erfassung und Auswertung von Datenspuren, die unbemerkt und ohne Steuerungsmöglichkeit der Nutzer bei jeglicher Kommunikation und Aktion im Internet anfallen. Dabei spielt es letztlich keine Rolle, ob diese Datenspuren beiläufig bei der technischen Erbringung der Dienstleistung anfallen oder ob sie gezielt generiert werden, etwa durch die technische Beobachtung des Nutzerverhaltens auf Websites unter Einsatz von Analysesoftware und Tracking-Cookies.

Wer mit wem wann kommuniziert, wer sich wie lange welche Webseiten anschaut oder wer sich für welche Produkte interessiert, mag für sich genommen und in den meisten Fällen einen wenig sensiblen Aussagegehalt haben.

Im Fokus des Datenschutzes steht aber die Gefahr, solch massenhaft anfallende und leicht kombinierbare Informationen zu einer potentiell umfassenden Dokumentation des Kommunikations- und Nutzerverhaltens der Verbraucherinnen und Verbraucher zusammen zu führen.

Solche digitalen Profile beinhalten eine enorme Aussagekraft, sie spiegeln einen Teil unserer Persönlichkeit wieder.

Es sollte zu denken geben, dass sowohl staatliche Sicherheitsbehörden als auch Unternehmen ein so großes Interesse an der Analyse des Nutzerverhaltens der Verbraucherinnen und Verbraucher haben.

Die umfassende Überwachung der digitalen Kommunikation durch ausländische Geheimdienste ist zur Zeit wohl das prominenteste Beispiel dafür, wie wertvoll und aussagekräftig Nutzerdaten für staatliche Sicherheitsinteressen sein können.

Aber auch Unternehmen verwenden viel Zeit und Geld darauf, möglichst viel über ihre Kunden herauszufinden, um diese Informationen selbst zu nutzen oder an andere zu verkaufen, insbesondere für adressatengenaue Werbung. Branchen – so heißt
es – generieren durch die kommerzielle Auswertung des Nutzerverhaltens Milliardenumsätze.

Das geläufige Bild von den Nutzerdaten als kommerzieller und ausbeutbarer Rohstoff, als Währung, als Öl der Wissenschaft oder
als Gold des 21. Jahrhunderts ist daher sicherlich nicht übertrieben.

Und noch ein weiterer Punkt sollte uns zu denken geben: Wer Daten heimlich sammelt, zu Profilen verdichtet und auswertet, erlangt die Deutungshoheit über die Aussagekraft der generierten Informationen.

Die Deutungshoheit liegt also nicht bei den „Datenproduzenten“, den Verbraucherinnen und Verbrauchern, sondern bei den „Datenkonsumenten“, bei Behörden und Wirtschaft. Aus diesem Grund ist es ein gefährlicher Trugschluss, der Entscheidung, ob eine Information belanglos und nicht schützenswert ist, allein den eigenen individuellen Standpunkt zugrunde zu legen.

Entscheidend ist vielmehr die Sichtweise der Daten verarbeitenden Stellen. Und diese Stellen können sehr wohl zu dem Schluss gelangen, die Betroffenen hätten etwas zu verbergen, selbst wenn diese ihr eigenes Verhalten als trivial und harmlos ansehen. Häufig ist es gerade die Unauffälligkeit, die Nutzer auffällig und interessant z.B. für staatliche Sicherheitsbehörden macht. Ein flüchtiger und belangloser Kontakt in einem Chat-Forum zu einer verdächtigen Person kann vielleicht schon ausreichen, um selbst ins Visier einer Überwachung zu gelangen.

„Ich habe doch nichts zu verstecken“ – von dieser vermeintlich selbstbestimmten Feststellung der Nutzerinnen und Nutzer ist es daher nur ein sehr kleiner Schritt zu der misstrauischen Unterstellung: „Haben Sie etwa etwas zu verbergen?“. Betroffene werden hierdurch unter den Pauschalverdacht der Geheimniskrämerei oder gar krimineller Machenschaften gestellt.

Wer sich für etwas rechtfertigen muss, befindet sich immer in der Defensive.

Faktisch wird hierdurch die Grundidee des Datenschutzrechts unterlaufen, nämlich die autonome Entscheidung der Betroffenen, selbstbestimmt über die Verwendung ihrer Daten zu entscheiden.

Das Datenschutzrecht ist – richtigerweise – konträr hierzu konzipiert. Das Verbot mit Erlaubnisvorbehalt verlangt von den Daten verarbeitenden Stellen eine Legitimationsgrundlage für ihr Handeln, sei es bei der Verarbeitung personenbezogener Daten für die staatliche Informationsgewinnung, sei es bei der kommerziellen Nutzung durch die Wirtschaft.

Nicht die Betroffenen, sondern die verarbeitenden Stellen haben sich zu erklären. Diese Prämisse des Datenschutzrechts gilt auch im Internet. Datenschutz ist nicht nur das Recht derer, die vermeintlich etwas zu verbergen haben, sondern beansprucht als Grundrecht auf informationelle Selbstbestimmung umfassende Geltung.

Selbstverständlich bezweckt der Datenschutz keine Bevormundung der Bürger. Er will natürlich nicht verhindern, dass die Bürgerinnen und Bürger im Internet frei kommunizieren und sich entfalten. Es ist aber die Aufgabe des Datenschutzes, Transparenz und Informiertheit sicher zu stellen und denjenigen, die dies wünschen, Hilfestellung bei dem Schutz ihrer personenbezogenen Daten zu geben.

Das ziemlich genau vor 30 Jahren formulierte Volkszählungsurteil des Bundesverfassungsgerichts bringt noch immer das Kernanliegen des Datenschutzrechts auf den Punkt: Die Bürger müssen wissen können, „wer was wann und bei welcher Gelegenheit über sie weiß“. Schon unter den damaligen, aus der heutigen Sicht fast anmutig antiquiert wirkenden „modernen“ Bedingungen der Datenverarbeitung der frühen 1980er Jahre erkannte das Bundesverfassungsgericht weitsichtig, dass es eben kein belangloses Datum gibt.

Die Feststellungen des Bundesverfassungsgerichts sind angesichts der unvorstellbar großen Menge personenbezogener Daten im Internet und ihrer Verfügbarkeit und Kombinierbarkeit in der digitalen Welt aktueller denn je.

Datenschutz ist also auch und gerade im Internet erforderlich – ist er aber auch möglich?

Natürlich stößt das Datenschutzrecht in seiner jetzigen, nationalstaatlich ausgeprägten Form im Netz an seine Grenzen: Betroffenenrechte und aufsichtsbehördliche Maßnahmen sind aufgrund der globalen Architektur des Internets kaum durchsetzbar. Den Betroffenen ist häufig nicht transparent, wo ihre Daten gespeichert, von wem sie verarbeitet werden und welche – auch staatliche – Stellen Zugriff auf die Daten haben.

Ein effektiver Datenschutz im Internet setzt daher international anerkannte Standards voraus. Diese müssen die Transparenz und die Datenhoheit der Betroffenen gewährleisten und den Aufsichtsbehörden wirksame und vor allen Dingen durchsetzbare Sanktions- und Eingriffsbefugnisse geben. Die Reform des europäischen Datenschutzrechts kann hier entscheidende Akzente setzen und eine globale Vorreiterrolle spielen.

Eine ganz wesentliche Funktion kommt zudem dem technologischen Datenschutz zu. Das klassische, durch Erlaubnistatbestände und behördliche Kontrollbefugnisse geprägte Datenschutzrecht wird in dem globalen Umfeld des Internets – zumindest auf absehbare Zeit – an seine Grenzen stoßen. Datenschutztechnik ist hingegen nicht an den örtlichen Geltungsbereich von Gesetzen gebunden, sondern wirkt ubiquitär und präventiv. Sichere Verschlüsselungsverfahren funktionieren nicht nur in Deutschland, sondern auch an anderen Orten der Welt.

Datenschutzrecht und Datenschutztechnik schließen sich nicht aus, sondern ergänzen sich in gewisser Weise. Das Datenschutzrecht kann einen verbindlichen Rahmen für die Implementierung des technologischen Datenschutzes durch die verantwortlichen Stellen vorgeben – so wie es die Datenschutzgrundverordnung etwa für den „eingebauten“ Datenschutz (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) macht.

Das Datenschutzrecht versagt allerdings dort, wo jeder Einzelne dazu aufgerufen ist, für die technische Sicherung seiner Daten zu sorgen oder den Zugriff auf diese wenigstens deutlich zu erschweren.

Gerade die Möglichkeiten des technologischen Datenschutzes bedingen daher Eigenverantwortung. Eigenverantwortung, meine Damen und Herren, – und damit möchte ich meine Ausführungen beenden -, die wichtig ist, damit aus einem selbstbewussten „Ich habe doch nichts zu verstecken“ kein resignatives „Ich kann doch eh nichts verbergen“ wird.

Ich danke Ihnen für Ihre Aufmerksamkeit!

Rede von Andrea Voßhoff zur Konferenz des BMJV und BITKOM am Safer Internet Day, dem 11. Februar 2014 

p style=“text-align: justify;“

Print article

Kommentieren

Bitte Pflichtfelder ausfüllen