Tag Archives: Facebook

Brauchen wir ein neues Datenrecht?

Die Bundesregierung sendet angesichts der Datenaffäre um Facebook und Cambridge Analytica widersprüchliche Signale aus. Während die neue Justiz- und Verbraucherschutzministerin Katarina Barley darauf setzt, dass die ab Mai EU-weit geltende Datenschutz-Grundverordnung (DSGVO) der exzessiven Datennutzung und dem Datenmissbrauch entgegenwirkt, plädiert Kanzleramtschef Helge Braun für ein „neues Datenrecht“.

Das von einer „Daten-Ethikkommission“ innerhalb eines Jahres auszuarbeite Datenrecht solle mehr Transparenz für die Bürger schaffen, kündigte Braun an. „Dem Bürger muss erstmal immer sehr transparent sein, welche Daten er zur Verfügung stellt. Und er muss das grundsätzlich immer sehr einfach und sehr wirksam unterbinden können. Auf der anderen Seite müsse es für die Wirtschaft klare Regeln geben, welcher Umgang mit Daten erlaubt ist und welcher nicht.“

Nachdem sich seine Kanzleramts-Kollegin Dorothee Bär kürzlich dadurch hervorgetan hat, den Datenschutz zu einem Ansatz aus dem 18. Jahrhundert zu erklären, konzentriert sich der Kanzleramtschef auf einen Ansatz, bei dem es weniger um den Schutz des Grundrechts auf informationelle Selbstbestimmung geht, sondern um die Nutzbarmachung von immer mehr Daten. Dies passt zu den Äußerungen von Bundeskanzlerin Angela Merkel, die in letzter Zeit jede positive Bezugnahme auf den Datenschutz peinlich vermeidet, und stattdessen lieber von „Datensouveränität“, „Datenpolitik“, „Dateneigentum“ und „Datenreichtum“ spricht.

Dass es dabei nicht in erster Linie um die Stärkung der Transparenz der Datenverarbeitungsmodelle und um stregere Regeln zum Umgang mit Daten geht, ist anzunehmen. So hat sich die Große Koalition 2017 bei der Novellierung des Bundesdatenschutzgesetzes infolge des Inkrafttretens der DSGVO eher um eine Entschärfung der europaweiten Datenschutzbestimmungen bemüht. Ihr Gesetzentwurf (Bundestags-Drucksache 18/11325) zeichnete sich dadurch aus, die in der DSGVO vorgesehenen Informationspflichten bei der Erhebung und Verarbeitung personenbezogener Daten einzuschränken. Auch die Auskunftsrechte der von der Datenverarbeitung betroffenen Personen sollten beschnitten werden. Dass die vom Bundestag beschlossenen Einschränkungen der Transparenz der Datenverarbeitung weniger gravierend ausfielen, ist nicht zuletzt dem Widerstand von Verbraucher- und Datenschützern zu danken, und war nicht etwa das Ergebnis des Umdenkens in dem für das Gesetzgebungsvorhaben federführenden Bundesministerium des Innern.

Um es zusammenzufassen: Der Umgang mit personenbezogenen Daten ist in der Datenschutz-Grundverordnung umfassend geregelt. Im Hinblick auf die Vorgaben für Internet-Dienste und Telekommunikationsunternehmen ist zwar eine Überarbeitung der bisherigen Regelungen angebracht, aber auch dabei handelt es sich in erster Linie um ein europäisches Thema (ePrivacy). Deutsche Alleingänge machen da wenig Sinn.

Peter Schaar

Der Skandal hinter dem Skandal – Facebook, Cambridge Analytica und die hohe Kunst der Manipulation

Medien und Politiker sprechen von einem „Daten-Skandal“ und verlangen Antworten von Facebook und von Cambridge Analytica. Soweit bisher bekannt, hat die unter maßgeblicher Beteiligung des Trump-Vertrauten Stephen Bannon gegründete Firma „Cambridge Analytica“ mittels einer Facebook-App persönliche Daten von ca. 50 Millionen Facebook-Nutzern abgegriffen, um sie im US-Präsidentschaftswahlkampf 2016 zu verwenden. Um an möglichst viele Informationen zu kommen, tarnte sich die Spionage-App mit dem vielsagenden Namen „thisisyourdigitallife“ als psychologischer Persönlichkeitstest. 270.000 Facebook-Nutzer fielen auf die App herein und eröffneten damit nicht nur den Zugang zu ihren eigenen Facebook-Profilen, sondern darüber hinaus auch zu den Profilen ihrer im Durchschnitt jeweils 190 Facebook-„Freunde“. So ergibt sich die in den Medien genannte Zahl von 50 Millionen Betroffenen.

Nach Aussage von Facebook widersprach das weiträumige Abernten („Harvesting“) der Facebook-Profile den internen Richtlinien des Unternehmens. Umso mehr überrascht die Mitteilung, dass Facebook die Geschäftsbeziehungen zu Cambridge Analytica erst jetzt abgebrochen hat, nach dem öffentlichen Bekanntwerden der Praktiken. Dabei war dem Unternehmen der Missbrauch bereits seit langem bekannt, wurde aber vor der Öffentlichkeit und den betroffenen Nutzerinnen und Nutzern geheim gehalten.

Bei genauerem Hinsehen zeigt sich indes, dass Cambridge Analytica mit seinen Praktiken nicht allein stehen dürfte. Im Grunde geht es auch hier um „Micro-Targeting“, das in der Wirtschaft schon seit längerer Zeit, und zunehmend auch im Politik-Business zum Einsatz kommt. Man will die Hintergründe potentieller Kunden möglichst gut kennen, um sie gezielt anzusprechen. Jeder Nutzer erhält die zu seinem persönlichen Profil passenden Werbebotschaften, die vielfach nicht einmal als solche zu erkennen sind.

Auch Wählerinnen und Wähler werden zunehmend als Kunden angesehen und genauso behandelt. Von besonderem Interesse sind dabei diejenigen, die sich noch nicht endgültig für einen Kandidaten oder eine Partei entschieden haben. So werden etwa einem ehemaligen Stahlarbeiter im US „Rust Belt“ andere Nachrichten vermittelt als dem wohlhabenden Rentnerehepaar in Florida. Die Angesprochenen merken nichts davon, dass ihnen maßgeschneiderte Botschaften übermittelt werden, die an ihren Meinungsäußerungen, ihrer persönlichen Lebenssituation oder an ihren heimlichen Wünschen und Ängsten anknüpfen. Intransparenz ist das A & O jeder erfolgreichen Manipulation.

Vieles im Internet läuft im Hintergrund ab, etwa die Einbindung von Diensten, die die „Reichweite“ der Angebote messen oder die Speicherung der „technischen“ Daten, die bei jeder Interaktion – auch beim bloßen Lesen – anfallen: IP-Adressen der verwendeten Rechner, Hard- und Software, Sprach- und Landeseinstellungen, Standortdaten. Die Profilbildung über den Nutzer geschieht im Hintergrund, ohne dass dieser darauf viel Einfluss nehmen kann. Soziale Netzwerke wie Facebook bieten die idealen Datenfelder, die für Micro-Targeting abgeerntet werden. Die Betreiber der Dienste erfahren auf diese Weise sehr viel mehr über die Nutzer, als diese bewusst preisgeben. Sie kennen nicht nur deren Identität, sondern auch deren Gewohnheiten und Aufenthaltsorte: Wann sie Online sind, von welchen Computern und wo sie ins Netz gehen. Sie wissen nicht nur um die vom Nutzer eingegebenen Vorlieben, sondern können auch aus dem Verhalten der „Freunde“ Schlüsse auf ihn ziehen. So haben Studien ergeben, dass das Geschlecht, die ethnische Zugehörigkeit, die sexuelle Orientierung und die religiöse Ausrichtung eines Facebook-Mitglieds mit einiger Sicherheit allein auf Grund seiner „Likes“ und seines Freundeskreises eingeschätzt werden kann, selbst wenn der Betroffene darüber selbst keine Angaben ins Netz stellt. Nicht nur amerikanische Politiker setzen verstärkt darauf, dass ihre Botschaften von möglichst vielen Nutzern geteilt, favorisiert, weitergeleitet oder kommentiert werden. „Making the community spreading the message for you“ beschrieb eine Facebook-Vertreterin schon vor einigen Jahren dieses Vorgehen, das von den Werbern auch „virales Marketing“ genannt wird. Der Wähler müsse das Gefühl haben, in die Diskussion einbezogen zu werden. Dass es sich dabei nicht um einen gleichberechtigten Dialog handelt, in dem der Wahlkämpfer mit dem potentiellen Wähler spricht, liegt auf der Hand.

Das Geschäftsmodell von Facebook & Co basiert ganz wesentlich darauf, Unternehmen, Wahlkämpfern und Regierungen gegen Entgelt an ihrem Wissen partizipieren zu lassen. Vielfach geschieht dies, ohne dass dabei die Identitätsdaten der Facebook-Mitglieder weitergegeben werden. Aber die entsprechenden Werbebotschaften werden gleichwohl maßgeschneidert ausgeliefert und den Auftraggebern ein genaues Feedback darüber gegeben, wie die Botschaften aufgenommen wurden.

Im konkreten Fall scheint die Cambridge Analytica App aber auch die Profildaten der Facebook-Nutzer ausgelesen zu haben, was dem Micro-Targeting weitere Möglichkeiten eröffnet. Erleichtert wird die Datenzusammenführung durch die „Realnamenspflicht“. Nach den Facebook-Richtlinien müssen sich sämtliche Nutzer unter ihrem echten Namen anmelden und dabei auch ihr Geburtsdatum preisgeben. Diese Identitätsdaten ermöglichen es, die aus dem Facebook-Profil gewonnenen Informationen mit Daten aus der „realen Welt“ zu verknüpfen. Derartige Daten sind in den USA noch sehr viel umfangreicher verfügbar als in Europa, weil es in den USA an klaren Datenschutzregeln für den Umgang mit personenbezogenen Daten durch Unternehmen mangelt. Zudem eröffnen die Wählerverzeichnisse – anders als etwa in Deutschland – Einblicke in die individuellen politischen Präferenzen.

Es geht hier um weitaus mehr als um die Aufklärung des aktuellen „Cambridge-Facebook-Skandals“. Vielmehr müssen wir darüber diskutieren, wie viel Datenmacht akzeptabel ist, wie digitale Geschäftsmodelle gestaltet werden und wie dem Datenmachtmissbrauch vorgebeugt werden kann. Umfangreiche Datensammlungen und Mikro-Targeting eröffnen Manipulationsmöglichkeiten und können Ungleichbehandlung und diskriminierende Praktiken verstärken. Der zunehmenden Transparenz des Einzelnen steht eine wachsende Intransparenz der Algorithmen und der im Hintergrund agierenden Interessen gegenüber.

Es geht um mehr als den Schutz der persönlichen Daten und die Wahrung der Privatsphäre. So wichtig die „Privatsphäreneinstellungen“ sein mögen, halte ich es für den falschen Weg, den Nutzern die Hauptverantwortung für den Ge- und Missbrauch ihrer Daten zuzuweisen. Zum einen sind die Voreinstellungen, die der Dienst seinen Nutzern bei der Kontoeröffnung vorgibt, sehr freizügig: Jeder kann das Profil sehen, alle können nach der E-Mail-Adresse und der Telefonnummer suchen, Freundeslisten sind öffentlich, Apps sind aktiviert und können die Profildaten einschließlich der Daten über Aktivitäten und Interessen auslesen. Zugriff haben nicht nur die Apps, die der Nutzer selbst aktiviert, sondern auch solche, die von Freunden verwendet werden. Zum anderen sind diese Einstellungen nicht leicht zu handhaben. Schließlich sind die wichtigsten Profildaten (Namen, Geschlecht, Nutzernamen und die Nutzer-ID und Netzwerke, denen der Nutzer angehört) bei Facebook stets öffentlich, ohne dass die Nutzer etwas daran ändern können.

Datenschutz ist ein wichtiges Element der notwendigen Gegenstrategie. Hier ist zu erwarten, dass die am 25. Mai 2018 voll wirksam werdende Datenschutz-Grundverordnung Fortschritte bringt.
Rechtliche Grenzen sind aber auch darüber hinaus erforderlich, etwa im Hinblick auf den immer weitergehenden Einsatz von Micro-Targeting und auch zur Vermeidung digitaler Diskriminierung.

Ihr Peter Schaar

America First: Datenschutz nur noch für (US-)Inländer

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon  werden womöglich die ersten Opfer der von Präsident Trump verfolgten „America First“- Politik sein. Trump unterzeichnete  am 25. Januar  2017 die Anordnung (Executive Order)  zur Verbesserung der öffentlichen Sicherheit. Schon jetzt ist deutlich, dass die Politik der Trump-Administration  einem gemeinsamen Datenschutz-Verständnis  zwischen den USA und der EU diametral  entgegen laufen.

Section 14 hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Auch wenn sich diese Bestimmung vermutlich zunächst gegen diejenigen Personen richten soll, die sich illegal in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das  erst im letzten Sommer ausgehandelte  Abkommen gestattet es Unternehmen, welche die Einhaltung der Privacy Shield Prinzipien gewährleisten, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 auf Basis des US-Rechts und der Zusicherungen der Obama-Administration die Existenz eines gleichwertigen  Datenschutzes festgestellt (Angemessenheitsbeschluss). Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es  den in  Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete.

Zu den Zusicherungen der US-Seite gehörte die Auslegung des US-Rechts in der Weise, dass die US Datenschutzbestimmungen – soweit rechtlich zulässig –  auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

Eine wichtige Basis bildete auch der vom US-Kongress im Februar 2016 gebilligte Judicial Redress Act (JRA), der  die Grundlage dafür bereitstellt, dass sich EU-Bürgerinnen und Bürger an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten.  Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst  Die oben zitierte Executive Order  könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen   von US-Präsident Obama angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Damit würden auch die Erklärungen des US-Geheimdienstkoordinators im Rahmen der Privacy Shield—Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für eine Fortgeltung des Angemessenheitsbeschlusses zum Privacy Shield  noch gegeben sind, nicht erst bis zur ersten, im Sommer d.J. vorgesehenen regulären Privacy Shield Review warten. Aber auch die europäischen Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende  Feststellung der Kommission zu warten.

Soziale Netzwerke sind keine Hilfsorgane der Sicherheitsbehörden

Innenpolitiker verschiedener Parteien, Vertreter des Bundesinnenministeriums und der Chef des Bundesamts für Verfassungsschutz fordern dieser Tage einen verbesserten Zugriff auf Daten aus sozialen Netzwerken. Sie berufen sich dabei auf den Amoklauf in München und auf terroristisch motivierte Straftaten in den letzten Wochen.

Facebook – so der Vorwurf – arbeite nur zögerlich mit den deutschen Sicherheitsbehörden zusammen. Deshalb seien Gesetzesänderungen notwendig, um etwa das Unternehmen zur Herausgabe von Nutzerdaten zwingen zu können. Unklar bleibt dabei, worauf sich diese Forderung im einzelnen bezieht: Auf die Herausgabe der Bestands- und Nutzungsdaten des Netzwerks oder auf die dort verbreiteten Informationen? Oder geht es um die vertrauliche Kommunikation mittels Messenger-Diensten wie Skype oder WhatsApp und die dabei ausgetauschten Inhalte?

Manchmal erleichtert ja ein Blick in die Gesetze die Rechtsfindung. Denn selbstverständlich sind die Betreiber sozialer Netzwerke an Recht und Gesetz gebunden und sie dürfen bzw. müssen Daten an Ermittlungsbehörden herausgeben, wenn die rechtlichen Voraussetzungen dafür gegeben sind. Bei sozialen Netzwerken handelt es sich um so genannte „Telemedien“ oder „Teledienste“ – für sie ist das Telemediengesetz (TMG) einschlägig, das Regeln für die Datenherausgabe an Behörden enthält. Zudem brauchen die Behörden eine gesetzliche Befugnis, die den Rahmen für deren Auskunftsverlangen absteckt, denn jede Übermittlung dieser Daten ist ein Eingriff in das Grundrecht auf informationelle Selbstbestimmungsrecht. Das Bundesverfassungsgericht spricht in diesem Zusammenhang von einem „Doppeltürmodell“, denn es verlangt sowohl eine gesetzliche Erlaubnis zur Datenherausgabe durch die Unternehmen als auch eine entsprechende Befugnis zur behördlichen Datenabfrage.

In § 14 Abs. 2 und § 15 Abs. 5 TMG ist festgelegt, dass Diensteanbieter wie Facebook den Polizeibehörden und den Nachrichtendiensten im Einzelfall Auskunft über bestimmte Daten des Nutzers erteilen dürfen, soweit dies für die Erfüllung der Zwecke der Strafverfolgung, zur Gefahrenabwehr und zur Terrorismusabwehr erforderlich ist und eine entsprechende Anordnung vorliegt. Die Anordnungsbefugnis ist in den für die jeweiligen Behörden geltenden Gesetzen festgelegt, insbesondere in der Strafprozessordnung, den Polizeigesetzen des Bundes und der Länder und im Bundesverfassungsschutzgesetz.

Die Strafprozessordnung und die Polizeigesetze von Bund und Ländern enthalten bereits umfangreiche Befugnisse zur Erhebung personenbezogener Daten, soweit es um die Aufklärung und Verhütung von Straftaten geht. Eine Regelungslücke kann ich hier nicht erkennen.

Auch der Verfassungsschutz darf gem. § 8a Bundesverfassungsschutzgesetz im Einzelfall Merkmale zur Identifikation des Nutzers eines Teledienstes, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Teledienste verlangen. Die Auskünfte dürfen aber nur verlangt werden, soweit dies im Einzelfall für die Aufgabenwahrnehmung erforderlich ist. Sie dürfen sich nur gegen Personen richten, bei denen tatsächliche Anhaltspunktre vorliegen, dass von ihnen schwerwiegende Gefahren ausgehen. Auch hier sehe ich keinen Bedarf für das weitere Aufbohren der Überwachungsbefugnisse.

Soweit die Behörden die direkte, vertrauliche Kommunikation zwischen Nutzern sozialer Netzwerke bzw. Messenger-Diensten überwachen wollen, müssen sie sich an die Regeln zur Telekommunikationsüberwachung halten. Diese Kommunikationsvorgänge sind durch das Fernmeldegeheimnis (Art. 10 GG) geschützt. Deshalb sind die rechtlichen Hürden hier höher als bei den sozialen Medien. Gleichwohl ist der Zugriff auf Verkehrsdaten der Telekommunikation und sogar die Überwachung der übertragenen Inhalte zur Bekämpfung schwerer Straftaten oder zur Abwehr schwerwiegender Gefährdungen – etwa bei einem angekündigten Amoklauf – zulässig. Die Behörden müssen auch hier ein rechtsstaatliches Verfahren einhalten, was im konkreten Fall bedeuten kann, dass sie eine richterliche Überwachungsanordnung benötigen. Ein solches rechtsstaatliches Verfahren mag lästig sein, ist aber unverzichtbar, wenn man die Grundrechte ernst nimmt.

Die Forderung nach einer darüber hinausgehenden allgemeinen ‚Kooperationspflicht‘ der Internetunternehmen mit Geheimdiensten oder Polizeibehörden würde dazu führen, dass die sozialen Netzwerke zu einer Art Hilfsorgan der Sicherheitsbehörden würden. Keineswegs hinzunehmen wäre etwa die Weitergabe persönlicher Daten bloß auf „Zuruf“ oder die Auswertung und Weitergabe von Massendaten. Die Enthüllungen Edward Snowdens haben gezeigt, welche Konsequenzen ein solcher Kuschelkurs haben kann.

Dagegen halte ich die Forderung für sinnvoll, dass Facebook und andere international agierende soziale Netzwerke Ansprechpartner für Auskunftsersuchen der Sicherheitsbehörden zu bestellen haben. Allerdings wird damit nicht das Problem gelöst, dass beim Zugriff auf Daten, die ein soziales Netzwerk auf Servern außerhalb Deutschlands speichert, auch die gesetzlichen Vorgaben des jeweiligen Staates zu beachten sind. Eine ähnliche Frage – allerdings mit umgekehrten Vorzeichen – wird ja derzeit in den USA diskutiert. Dort fordern Sicherheitsbehörden von Microsoft die Herausgabe von Daten, die auf Servern außerhalb der USA gespeichert werden. Der Ausgang dieses Verfahrens ist bis heute offen. Auch und gerade für den Zugriff auf Daten bei transnationalen Internetangeboten müssen die Grundsätze der Rechtsstaatlichkeit und Verhältnismäßigkeit gelten.

Wer dies aus tagespolitischen Motiven ignoriert, könnte sich schon bald die Augen reiben. Mit welcher Begründung sollte ein Internetdienst etwa die Forderung einer türkischen Behörde nach der Herausgabe der Daten von Kritikern des türkischen Staatspräsidenten ablehnen, wenn andererseits eine sehr weitgehende Kooperation der Unternehmen mit den deutschen Behörden eingefordert wird? Und was sagen wir dem chinesischen Dissidenten, den ein Internetdienst den dortigen Behörden ausliefert?

Wir brauchen internationale Standards, die rechtsstaatlichen Grundsätzen entsprechen – bei der Strafverfolgung und auch beim Datenschutz im Internet. Was wir dagegen nicht brauchen, ist eine „lex München“ oder eine „lex Würzburg“, so schlimm die dortigen Amokläufe auch waren.

Mit freundlichen Grüßen

Peter Schaar

Nachtrag (16. August 2016)

In einer Stellungnahme betont eco, Verband der Internetwirtschaft e.V., er sehe keine Notwendigkeit, Telemediendienstanbieter, insbesondere Social Media Plattformen, dazu zu verpflichten, Nutzerdaten im Rahmen von Terror-Abwehr- oder –Ermittlungsmaßnahmen schneller an Behörden zu übergeben. Eine solche neue Herausgaberegelung sei „überflüssig und darüber hinaus aus datenschutzrechtlicher Perspektive problematisch“, betonte eco Vorstand Politik & Recht Oliver Süme.

Tagungsbericht vom Steinmüller Workshop 2016: Informatisierung der Welt

Von Hansjürgen Garstka,
– Gründer und Ehrenvorsitzender der EAID,
Berliner Beauftragter für Datenschutz und Informationsfreiheit a.D. –

Informatisierung der Welt. Steinmüller Workshop 2016
Europäische Akademie für Informationsfreiheit und Datenschutz
Berlin, 19. Mai 2016

Link zur pdf-Version

Tagungsbericht

Im Gedenken an Wilhelm Steinmüller, den am 1. Februar 2013 verstorbenen Wegbereiter der Auseinandersetzung mit den gesellschaftlichen Auswirkungen der Elektronischen Datenverarbeitung in Deutschland, trafen sich im Rahmen der Europäischen Akademie für Informationsfreiheit und Datenschutz Berlin  am 19. Mai 2016 zum vierten Mal Weggefährten, Schüler und Freunde, um aktuelle Probleme der Informationsgesellschaft zu diskutieren. Das diesjährige Thema lehnte sich an den Wortgebrauch Steinmüllers an, der richtigerweise nicht von der Digitalisierung, sondern von der Informatisierung der Welt sprach. In seinem Lebenswerk „Informationstechnologie und Gesellschaft“  handelte er unter diesem Thema Probleme der „Informatisierten Wirtschaft und Sozialwelt“, des „Informierten Staates“, der „Informatisierten Arbeit“ und der „Informatisierten Weltgesellschaft“ ab (S. 547 ff.). Die Beiträge zu dem Workshop folgten diesem Schema.

Zu Beginn jedoch erinnerte Wolfgang Kilian an den im Oktober 2015 verstorbenen Herbert Fiedler, einem weiteren Protagonisten der juristischen Informatik, wie er, sich abgrenzend von Steinmüllers Rechtsinformatik, dieses Gebiet nannte. Kilian hob die Bedeutung der juristischen Logik und der mathematischen Betrachtungsweise in Fiedlers Werk hervor, die auch in seiner langjährigen Funktion als Leiter der Forschungsstelle für Juristische Informatik und Automation bei der vormaligen Gesellschaft für Mathematik und Datenverarbeitung in Sankt Augustin zum Ausdruck kam. Auch sein Engagement im Fachbereich Recht und Verwaltung der Gesellschaft für Informatik sowie in der Gesellschaft für Rechts- und Verwaltungsinformatik haben viel zur Fortentwicklung des Gebietes beigetragen.

Als Paradigma für die „Informatisierte Wirtschaft“ zeigte zunächst Joachim Rieß auf, wohin der Weg von „Industrie 4.0“ führt. Dieser nur in Deutschland gebräuchliche Begriff (Wolfgang Coy wird ihn in einem späteren Diskussionsbeitrag als zu einseitig bezeichnen) markiere die auf Mechanisierung, Elektrifizierung und Automatisierung folgende Autonomisierung und Vernetzung als nächste Stufe der ökonomischen Entwicklung. Nahe liegender Weise erläuterte der Konzerndatenschutzbeauftragte von Daimler-Benz diesen Schritt anhand der „Digitalen Transformation des Fahrzeugs“, die auf Miniaturisierung, Fließbandtechnik und Entwicklung hoher Sicherheitstechnik folge. Mobile, ständig im on-line-Modus befindliche Geräte, der Einsatz einer Vielzahl von Sensoren, simultane Lokalisierbarkeit, das Entstehen „cyber-physischer Systeme“ kennzeichneten die Entwicklung.  Hinzu komme die Individualilisierung der Produkte. Der „Datenmensch“ entstehe als „alter ego“, die Welt werde für unsere Bedürfnisse gefiltert, neue Erlebensräume würden eröffnet (z.B. durch 3-D-Visualisierung). Risiken sah Rieß im Hoheitsanspruch über die Filterprozesse, der nationalen Abschottung und der Nationalisierung des Internets, der Entstehung asymmetrischer Kriege, der anschwellenden digitalen Kriminalität. Neue Herausforderungen für den Datenschutz entstünden, wie die Frage des Eigentums an Daten und Informationen, neue Verantwortlichkeits- und Haftungsfragen.

Wolfgang Schimmel wandte sich dem Problem des „Bezahlens mit – anonymen? – Daten“ zu. Er wies darauf hin, dass Daten etwa im Adresshandel schon immer Handelsware waren. Das Kunsturhebergesetz kenne den Geldwert von Bildern. Schadensersatzforderungen beim Missbrauch von Informationen oder Lizenzgeschäfte seien weitere Beispiele für die Monetarisierung. Internetanbieter nutzten die Daten dagegen aufgrund Allgemeiner Geschäftsbedingungen gratis, Facebook lasse sich sogar eine „uneingeschränkte Lizenz“ erteilen. Die kostenlose Preisgabe der Daten werde durch die Drohung mit der Zurückweisung der Anmeldung erzwungen, die Nutzung der Daten bleibe im Dunkeln. Auf diese Weise verkauften die Nutzer „ihre Seele“ als „Schnäppchen“. An Hand der Sage vom Regensburger „Bruckmandl“ erläuterte Schimmel das Problem, seine Seele zurückzuholen – gegen die teuflischen Internetgiganten wie in der Sage zwei Hähne und einen Hund loszuschicken, wird wohl nicht ausreichen.

Der „Verfügungsbefugnis über marktfähige personenbezogene Daten“ widmete sich auch Wolfgang Kilian. Zunächst müsse die Frage gestellt werden, was informationelle Selbstbestimmung mit Marktprozessen zu tun hat. Jedenfalls sei eine unmittelbare Drittwirkung nicht möglich. International werde das deutsche Verständnis des Allgemeinen Persönlichkeitsrechts nicht verstanden. Kilian stellte sodann 13 Thesen zur Erstellung der Marktfähigkeit von Daten auf. Darunter: Zu berücksichtigen seien die Funktionsdefizite der Einwilligung, die Problematik müsse vielmehr auf die Vertragsebene übergeleitet werden. Zivilrechtliche Verfügungsbefugnisse setzten eine Zuordnung zu Eigentum bzw. property rights voraus. Parallelen zum Immaterialgüterrecht müssten gezogen werden. Das Immaterialgut müsste hierzu neu definiert werden, u.U. könnten aus dem Zollrecht Anregungen gewonnen werden. Der Lizenznehmer sei als Nießbraucher zu betrachten. Die Rechte müssten durch Privacy by design und Privacy by default durchgesetzt werden. Auch spezielle Verwertungsgesellschaften seien denkbar. Die Schranken der Rechte etwa im Hinblick auf Nutzung, Fairness, Forschung, öffentliche Sicherheit seien zu bestimmen, die Rolle von Anonymisierungspflichten sei zu bedenken.

Zur Informatisierung in der Sozialwelt steuerte Alexander Dix einen Beitrag zur „Entsolidarisierung durch die Digitalisierung des Menschen“ bei. Er verwies auf den wachsenden Markt von Gesundheitsapps und Trackinggeräten. Schlaf, Schweiß, Laufstrecken würden gemessen. Krankenkassen würden bei bestimmten Werten Prämien gewähren. Die Kfz-Versicherer interessierten sich mehr und mehr für den Fahrstil der versicherten Personen. Es stellten sich Fragen nach der Qualität und der Aussagekraft der gesammelten Daten, es könne zu Risikoverschiebungen kommen (beim Laufen Risiken für die Knochen statt für das Herz), es gebe Überlistungsmöglichkeiten. Vor allem liege in der Berücksichtigung der Daten bei der Prämengestaltung ein Verstoß gegen das Solidaritätsprinzip. So lasse das SGB V keine Bevorzugung gesund Lebender zu. Auch die Freiwilligkeit stehe in Frage, das Koppelungsverbot von Art. 7 Datenschutz-Grundverordnung sei zu beachten. Insgesamt könne  in der Sammlung dieser Gesundheitsdaten eine Vorstufe zur zentralen Gesundheitssteuerung gesehen werden, wie sie in China mit dem „citizen score“ derzeit aufgebaut wird.

Der informatisierte Staat wird vor allem durch die Sicherheitsbehörden mit ihren Überwachungsmaßnahmen repräsentiert. Hansjörg Geiger zeigte hierzu die „Verfassungsrechtlichen Grenzen der Überwachung der internationalen Telekommunikation durch den BND“ auf. Ausgangspunkt sei die Erkenntnis der Vorratsdatenspeicherungs-Entscheidung des Bundesverfassungsgerichts, nach der jede Kenntnisnahme, Auswertung und Verwendung von Kommunikationsdaten einen Grundrechtseingriff darstelle. Grenzen könnten nur ein Gesetz bestimmt werden, das besonderen Anforderungen an die Verhältnismäßigkeit und Normenklarheit genügen muss. Geiger erläuterte sodann die „strategischen“ Beschränkungen des G-10-Gesetzes, nach dem die Überwachungsbefugnisse auf den Telekommunikationsverkehr von und nach Deutschland beschränkt seien. Nur 20 % des Verkehrs dürfe einbezogen werden. Im Ergebnis sei eine flächendeckende Überwachung nach dem G-10-Gesetz nicht gestattet. In Diskussion sei die Frage nach der Zulässigkeit der Überwachung in einem Drittland oder zwischen Drittländern. Die Bundesregierung vertrete die These des „offenen Himmels“ und halte sie für zulässig. Dagegen sei zu halten, dass Art. 1 Absatz 3 Grundgesetz zwar keine Aussage zum räumlichen Geltungsbereich mache, aber Völkerrecht, v.a. die Allgemeine Erklärung der Menschenrechte zu beachten sei. Auch sei der Gebietskontakt durch Empfangs- und Auswertungsgeräte zu berücksichtigen. Das Bundesverfassungsgericht selbst lasse Art. 10 eingreifen, sobald Telekommunikationsdaten von deutschen Behörden in Deutschland erhoben, wie auch immer verarbeitet oder übermittelt werden. Im Ergebnis müsse Art. 10 daher auch für den „offenen Himmel“ grundsätzlich immer gelten. Allerdings könnten die Regelungen hier großzügiger ausgelegt werden. Jedenfalls dürfe der BND nicht weiterhin in einer Grauzone arbeiten.

Carl-Eugen Eberle befasste sich, angeregt durch einen Zeitungsbeitrag über die Nutzung der Sozialen Medien durch die Partei AfD, mit der allgemeinen Frage nach dem  Einfluss der Sozialen Medien auf die öffentliche Meinungsbildung. Dabei sei auffällig, dass der dort verbreitete Vorwurf der „Lügenpresse“, der sich auch gegen den Rundfunk richte, gerade in einem Medium erhoben werde, das selbst lügenanfällig ist. Die Selbstreferenzialität durch Likes bei Facebook spiele ebenso eine Rolle wie die Erzeugung von Entrüstungspotential durch Gerüchte und falsche Tatsachenbehauptungen. All dies werde noch begünstigt durch anonym oder gar automatisch generierte Beiträge. Im Gegensatz zum öffentlichen Rundfunk, der strengen journalistischen Regeln unterworfen ist, unterlägen diese Aktivitäten keinerlei Kontrolle. Das stelle die Frage, „ob wir nicht die falschen Türen überwachen“. Es sei notwendig, dass das Medienrecht auf diese Situation reagiere.

Im Rahmen des Bereichs „Informatisierte Arbeit“ trug Klaus Fuchs-Kittowski zur „Digitalisierung der Arbeitswelt – zur Stellung und Verantwortung des Menschen in hochkomplexen informationstechnologischen Systemen“ bei. Ausgangspunkt müsse sein, dass der Mensch im Mittelpunkt der Wirtschaftsinformatik stehen müsse. In der Auseinandersetzung mit den Propagandisten der Vollautomatisierung müsse die „technische Immunität“ angegriffen werden. Der Leitsatz müsse sein: „Gebt dem Automaten, was des Automaten ist, gebt dem Menschen, was des Menschen ist“ und nicht „…gebt dem Menschen, was übrig ist“. Die weitgehende Automatisierung führe zu einer Entwertung der menschlichen Arbeit. Der Druck, mit elektronischen Medien arbeiten zu müssen, führe zu einer immer stärkeren Arbeitsverdichtung. Die Bedeutung des Menschen sehe man besonders in riskanten Situationen, in denen der Mensch einen größeren Spielraum habe als eine Maschine. Dies sei wichtig besonders im Hinblick auf die Störanfälligkeit von Maschinen, die sich auch beim „ubiquitous computing“ zeigen werde: Je mehr Informationsquellen genutzt werden, desto größer werde die Störanfälligkeit („Paradoxie der Sicherheit“). Anzustreben sei nicht Vollautomation, sondern ein verantwortliches Zusammenwirken zwischen Mensch und Maschine.

Zum Themenbereich „Informatisierte Weltgesellschaft“ erläuterte Peter Schaar zunächst „Das regulatorische Territorialdilemma der globalen Informationsgesellschaft“.  Die Globalisierung habe seit 1995 deutliche Veränderungen hinsichtlich ihrer Auswirkungen auf die Datenverarbeitung verursacht. Während in jener Zeit umfangreiche Datenübermittlungen eher die Ausnahme und lokale Regelungen angemessen gewesen wären, seien dezentrale Verfahren heute eher die Ausnahme. Nicht nur von Institutionen wie dem US-Geheimdienst NSA, sondern auch von Wirtschaftsunternehmen gingen globale Bedrohungen aus. Unsere jetzigen Regelungen bezögen sich aber immer noch auf die frühere Situation. Die weltweit erhobene Forderung nach einer „digitalen Souveränität“ führe zu einer Daten-Relokalisierung, wie sie die USA bereits seit langem praktiziere. Erforderlich sei dagegen eine Globalisierung der rechtlichen Vorgaben. Durch UN-Aktivitäten seien deutliche Grenzen zu setzen. Die Menschenrechtsbindung müsse unabhängig von Hoheitsgebieten und der Nationalität der Betroffenen durchgesetzt werden. Schaar verwies auf den Bericht der Hohen Kommissarin für Menschenrechte der UN, Navi Pillay, nach dem Menschenrechte nur durchgesetzt werden könnten, wenn die einzelnen Staaten sich verpflichten, sie auch außerhalb ihrer eigenen Landesgrenzen zu beachten  (The Right to Privacy in the Digital Age, Juli 2014).

Schließlich beschrieb Klaus Lenk „Die Herausbildung einer weltweiten privaten Rechtsordnung: Akteure und ihre Gestaltungsspielräume“. Diese von zivilen Einrichtungen geschaffenen Rechtsordnungen, die in Konkurrenz zur staatlichen stehen,  würden Oberhand gewinnen. Kennzeichnend für sie sei die folgenreiche Nutzung von vier Steuerungsinstrumenten: (1) Imperatives Recht werde durch zwingende Technikregulierung abgelöst. (2) Eine unsichtbare Rekonfigurierung der physischen und informationellen Umgebung des Menschen führe zu einer „gebremsten Individuation“. (3) Entscheidungen beruhten auf einem „maschinellen“ Anfangsverdacht. (4) Diffuse, feingranulare nicht-staatliche Überwachungsszenarien entstünden. Dahinter stehe die „kalifornische Ideologie“, die geprägt sei durch Weltverbesserungsstreben, Technikgläubigkeit und Geschäftemacherei. Folgende staatliche Spielräume verblieben:  Entnetzung (Dinge müssen isoliert funktionieren), Resilienz (Gestaltung robuster, verantwortbarer Strukturen), Herstellung von Nachvollziehbarkeit. Insgesamt seien die Handlungsspielräume größer als vermutet. Hierzu müsse der „Enteignung des Willens durch Digitalisierung“ begegnet, der damit zusammenhängende Fatalismus überwunden und die Frage gestellt werden, „ob wir noch Alternativen denken können“.

EuGH zu Safe Harbor: Kein Grundrechterabatt beim internationalen Datentransfer

Das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache Schrems gegen den Irischen Datenschutzbeauftragten wirkt weit über den eigentlichen Streitgegenstand hinaus. Die Irische Datenschutzbebehörde muss der Frage nachgehen, ob Facebook Irland die personenbezogenen Daten seiner Nutzer in die Vereinigten Staaten weitergeben darf. Die Entscheidung betrifft auch die deutschen Facebook-Nutzer, denn Facebook Ireland ltd. mit Sitz in Dublin bietet seinen Service für die meisten Länder – mit Ausnahme Nordamerikas – rechtlich von Irland aus an. Deren Daten werden aber gleichwohl in den USA verarbeitet – im Wege der „Datenverarbeitung im Auftrag“.

Die für die Datenschutzkontrolle bei Facebook Irland zuständige Irische Datenschutzbeauftragte kann sich einer solchen Überprüfung nicht mit dem Hinweis darauf entziehen, dass die EU-Kommission  in ihrer „Safe Harbour“-Entscheidung vom 26. Juli 2000 den Vereinigten Staaten ein angemessenes Datenschutzniveau bescheinigt hat, jedenfalls soweit sich die Datenempfänger zu den „Grundsätzen eines sichern Hafens“ bekennen, wie dies seitdem mehr al 3000 US-Unternehmen getan haben.

Das höchste EU-Gericht hat festgestellt, dass die Safe-Harbour-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta genügt, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Letztlich unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte. Ihre sehr weit gehenden Befugnisse widersprächen zudem den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren, denn Betroffene EU-Bürger hätten keinen Anspruch darauf, in den USA Auskunft über die Datenverarbeitung staatlicher Stellen zu erlangen und die entsprechenden Zugriffe und die anschließende Datenverarbeitung gerichtlich überprüfen zu lassen. Das Safe Harbour Abkommen sei deshalb ungültig.

Für Facebook und die übrigen Unternehmen, die sich in den vermeintlich sicheren Hafen geflüchtet haben, bedeutet das Urteil zunächst, dass die Verarbeitung personenbezogener Daten, die aus der EU übermittelt wurden, nicht mehr der Vermutung unterliegen, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet (Art. 25 der EU-Datenschutzrichtlinie von 1995). Sie benötigen für den Datentransfers grundsätzlich die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die Datenschutzbehörden dürfen diese Genehmigung nur erteilen, wenn der Datenempfänger – bezogen auf die jeweiligen personenbezogenen Daten – ein angemessenes Datenschutzniveau gewährleistet. Dieser Nachweis dürfte insbesondere denjenigen Unternehmen schwer fallen, die an der Massenüberwachung durch US-Geheimdienste mitgewirkt haben.

Schwer vorstellbar ist, dass Facebook, Microsoft, Google & Co. einfach auf ein anderes Instrument „umschalten“ können, das die Angemessenheit des Datenschutzes garantieren soll, etwa auf die sog. „Standardvertragsklauseln„, die ebensowenig wie der „sichere Hafen“ vor staatlicher Überwachung schützen. Die vom EuGH formulierten Anforderungen sind auch auf sie anwendbar.

Auch die Änderung der Vertragsbestimmungen mit den Nutzern in der Weise, dass diese in die mögliche Überwachung durch die NSA und andere Behörden einwilligen, wäre keine Lösung. Zwar haben Betroffene grundsätzlich die Möglichkeit, in das Eingehen besonderer Risiken einzuwilligen, auch soweit diese den Umgang mit ihren Daten betreffen. Die Einwilligung kann jedoch nur dann eine wirksameRechtsgrundlage für die Verarbeitung personenbezogener Daten sein, wenn die Nutzer der Tragweite der Einwilligung bewusst sind (Transparenz), sie frei von jedem Zwang erfolgt (tatsächliche Freiwilligkeit) und sie jederzeit zurückgenommen werden kann.

Eine pauschale Einwilligung in umkfassende staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten wäre deshalb unwirksam.

Wie könnte also eine Lösung aussehen?

Kurzfristig müssen die betroffenen Unternehmen – sowohl die Absender als auch die Empfänger personenbezogener Daten – dafür sorgen, dass die ihnen anvertrauten Daten nicht weiter Gegenstand der Massenüberwachung sind: Durch Kryptographie, Standortenscheidungen für Server und anderer Netzkomponenten und ggf. durch Wechsel von Geschäftspartnern, etwa bei der Auftragsdatenverarbeitung oder bei der Erbringung sonstiger IT-Dienstleistungen.

Längerfristig besteht der einzige Weg darin, den in Art. 12 der UN-Menschenrechtserklärung, in der EU-Grundrechtecharta und in vielen Verfassungen demokratischer Staaten garantierten Grund- und Menschenrechte auf Privatsphäre und Datenschutz endlich global durchzusetzen. Die notwendigen Änderungen beschränken sich dabei nicht auf die Vereinigten Staaten, sie betreffen auch Europa. Auch hier folgen Geheimdienste der absurden Vorstellung, möglichst alles zu wissen und deshalb alles und jeden zu überwachen, um damit vermeintlich mehr Sicherheit zu schaffen (was bekanntlich nicht einmal in autoritären Regimes jemals geklappt hat).

Nicht ein angeblich „überzogener“ Datenschutz gefährdet den Welthandel und die Informationsgesellschaft, sondern überbordende Massenüberwachung!

Mit freundlichen Grüßen, Peter Schaar

Vgl. auch meinen Blog-Eintrag zum Votum des Generalanwalts

Datenschutz? Ist mir doch egal!

(Bei diesem Text handelt es sich um die Langfassung eines Gastbeitrags, der im Juli 2015 in verschiedenen deutschen Zeitungen erschienen ist)

Obwohl wir heute jeden Tag ungeheure Mengen digitaler Daten produzieren, reagieren die meisten Menschen auf die damit einhergehenden Gefahren eher gleichgültig. Eine Mischung aus  Verdrängung und Resignation. Datenschutz? Darum sollen sich doch die Datenschutzbehörden kümmern, die werden schließlich dafür bezahlt! Und immer noch hören wir den dummen Satz:  „Ich habe doch nichts zu verbergen!“

Fast täglich lesen wir Berichte über gestohlene Daten, Cyberangriffe und Datenschutzverletzungen. Facebook ändert seine Nutzungsbedingungen und schaut uns laufend  beim Surfen über die Schulter? Na wenn schon! Die NSA liest unsere E-Mails mit? Der amerikanische Geheimdienst interessiert sich doch nicht für mich! Vorratsdatenspeicherung? Davor haben doch nur Kriminelle und Terroristen Angst!

Es ist zu befürchten, dass wir unsere Ignoranz teuer bezahlen müssen. Viele werden sich demnächst Vorwürfe machen, warum sie sich nicht rechtzeitig um ihren digitalen Schatten gekümmert haben. Gefahren drohen nicht nur von Kriminellen und Cyberterroristen. Schmerzhaft wird es auch dann, wenn wenn ich sehr viel mehr Zinsen zahlen muss als die Nachbarin, obwohl ich doch bisher alle Kredite zurückgezahlt habe. Oder wenn ich die beantragte Versicherung nicht bekomme oder wenn mir die Auszahlung der Versicherungssumme unter Hinweis auf widersprüchliche Daten verweigert wird. Allgegenwärtige Datenverarbeitung heißt zugleich auch umfassende, permanente Beobachtung – ohne Vergessen und Vergeben.

Vieles von dem, was mit unseren Daten geschieht, spielt sich hinter unserem Rücken ab. die Datensammler sind längst in unseren Alltag eingesickert, ohne dass wir dies bemerkt haben. Fast jeder rechnet heute damit, dass jede  Aktivität im Internet Spuren hinterlässt und vielen ist bewusst, dass das Smartphone unseren Aufenthaltsort ausplaudert. Aber dass unser Auto  immer mehr Daten sammelt  und die so gewonnenen Informationen über unseren Fahrstil demnächst an die Versicherung weiterleitet, ist weniger bekannt. Und an die Videokameras an allen möglichen und unmöglichen Orten haben wir uns fast gewöhnt. Dass die Überwachungssysteme allerdings  zunehmend die aufgenommenen Bilder auswerten und Personen anhand ihres Gesichts identifizieren können, wissen die wenigsten. Überwachung bestimmt immer größere Teil unseres Alltags, im Büro, auf der Straße und auch im häuslichen Wohnzimmer per Smart TV.

Andererseits möchten die Wenigsten auf die Bequemlichkeiten verzichten, die es ohne Technik nicht geben würde: Computerspiele, Internet, Navigationssysteme, elektronisches Bestellen und Bezahlen, um nur einige Beispiele zu nennen. Und die Geschäftsmodelle von Google, Facebook & Co. haben uns daran gewöhnt, dass wir selbst für hochwertige Leistungen und Informationen kein Geld zahlen müssen. Aber auch im Internet gilt der Satz: Nichts ist umsonst! Selbstverständlich bezahlen wir für die „kostenlosen“ Dienste – aber die Währung sind unsere Daten. Im Unterschied zu den Frühstücksbrötchen, die wir beim Bäcker kaufen, können wir den wirklichen Preis nicht abschätzen, den wir für viele elektronische Dienstleistungen bezahlen.

Wie teuer die elektronischen Dienste  in Wirklichkeit sind, merken zunächst diejenigen, die kreativ sind und die Informationen produzieren. Die Erlöse der elektronischen Verbreitung landen zum größten Teil bei den  Betreibern von Internet-Plattformen und Suchmaschinen und nicht bei den Journalisten, Musikern und Künstlern. Aber auch die Nutzer werden zunehmend zur Finanzierung herangezogen, indem sie umfassend in ihrem Verhalten, ihren Interessen und persönlichen Eigenschaften registriert und laufend bewertet werden. Die so gewonnenen Persönlichkeitsprofile sind nicht nur die Grundlage für maßgeschneiderte Werbebotschaften sondern zunehmend auch für alltägliche Entscheidungen, etwa darüber, wer wie lange in einer telefonischen Warteschleife zu verharren hat oder wer einen Mietvertrag bekommt.

Es stimmt schon: Big Data schafft neue Erkenntnisgrundlagen, aber die Kenntnisse sind ungleich verteilt. Die meisten datengetriebenen Geschäftsmodelle gleichen einem venezianischen Spiegel,  der nur einseitig durchsichtig ist. Die großen privatwirtschaftlichen und staatlichen Datensammler wissen alles über die Nutzer, aber sie hüten Ihre Datenschatz wie einen Augapfel. Wer von ihnen, die doch alles über uns wissen wollen und vieles erfahren, umfassende Transparenz fordert, dem werden allzu häufig Staats- und Geschäftsgeheimnisse entgegenhalten.

Es stimmt schon: Der Weg in die digitale Gesellschaft ist unumkehrbar. Und trotzdem können wir  darauf einwirken, wie unser Leben in 10 oder 20 Jahren aussehen wird. Hätte man vor 150 Jahren der Industrialisierung freien Lauf gelassen, gäbe es bei uns immer noch Kinderarbeit und Arbeitsschutz wäre ein Fremdwort. Ohne den im 19. Jahrhundert begonnenen Kampf von Frauen gäbe es bis heute kein Frauenwahlrecht. Nur durch das Engagement von Bürgerrechtlern ist in den 1960er Jahren in den USA die Rassentrennung gefallen. Und der Umweltschutz wird heute nur deshalb sehr viel ernster genommen, weil sich viele Menschen dafür eingesetzt haben. Genau so müssen wir uns für eine demokratische, menschenfreundliche Gestaltung der Informationsgesellschaft stark machen.

Viele schrecken angesichts der Größe der Aufgabe davor zurück. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“: Privatsphäre ernst nehmen, nachfragen, technische Schutzmöglichkeiten nutzen – angesichts der Herausforderungen erscheint dies nicht viel. Aber selbst kleinste eigene Schritte tragen zu dem notwendigen Stimmungs- und Meinungswandel bei.

Die Informationsgesellschaft ist kein virtueller Vergnügungspark, sie ist aber auch nicht der Friedhof der Demokratie. Gleichgültigkeit, Lethargie und Resignation sind das letzte, was wir brauchen. Auch die Informationsgesellschaft lebt von engagierten Bürgerinnen und Bürgern, die sich auskennen und die sich einsetzen. Die neuen Informationstechnologien erleichtern es, sich bürgerschaftlich zu vernetzen, unerwünschte Informationen öffentlich zu machen und Diskussionen anzustoßen. Deshalb wäre es auch nicht richtig, die Diskussion über die digitale Zukunft wenigen Spezialisten zu überlassen, Informatikern, Nerds oder – naja – auch den Datenschützern. Vor allem aber  dürfen wir nicht dem Irrtum erliegen, der Weg in die Überwachungsgesellschaft sei ein unbeeinflussbares Schicksal.

Facebook: Jede große Reise beginnt mit einem kleinen Schritt

Zunächst einmal herzlichen Dank für die Kommentare zu meiner Ankündigung, Facebook zu verlassen, die ich inzwischen umgesetzt habe.

Ich will hier eine kurze Erläuterung nachreichen: Es war immer mein Anliegen, nicht nur über den Datenschutz zu theoretisieren, sondern auch praktische Erfahrungen zu sammeln. Manches stellt sich nunmal aus der User-Sicht anders dar als von den rechtlichen Höhen der Datenschutzaufsicht. Dabei war mir natürlich seit langem klar, dass die Praxis von Facebook zur Realnamenspflicht und die Profilbildung  den Vorgaben des deutschen Telemediengesetzes nicht entspricht.

Die geänderten FB-Nutzungsbedingungen gehen jedoch darüber hinaus, denn FB räumt sich darin das Recht ein, uns auch außerhalb  seines Dienstes zu beobachten, unser Surfverhalten zu registrieren und sich auf dem den von uns verwendeten Geräten nach anderen Apps umzuschauen. Dies überschreitet aus meiner Sicht jedes akzeptable Maß und entspricht auch nicht den Vorgaben des Europäischen Datenschutzrechts, zu dessen Einhaltung sich FB eigentlich verpflichtet hat – und verpflichtet ist (Sitz der FB Inc.: Dublin). Dies gilt auch für die  „Einwilligung“, die dann als erteilt gilt, wenn man den Dienst nach dem Inkrafttreten der geänderten Regeln weiter nutzt. Diese Einwilligung ist aus meiner Sicht unwirksam, denn gerade bei einem marktbeherrschenden Unternehmen kann von der durch die EG-Datenschutzrichtlinie Freiwilligkeit der Einwilligung keine Rede sein. Auch die Vorstellung, allein durch die Dienstenutzung mit allem einverstanden zu sein, erscheint mir – insb. angesichts der Komplexität der Datensammlungen und -verarbeitungsvorgänge – nicht tragbar.

Daran ändert auch die neu eingeführte Wahlmöglichkeit nichts, keine verhaltensspezifisch personalisierte Werbung mehr zu erhalten. Dies ist lediglich ein Opt Out bezüglich der Werbezusendungen, ändert aber nichts an der Beobachtung und Profilbildung. Und die Möglichkeit, bestimmte Werbung „abzuwählen“, führt nicht etwa zu weniger Beobachtung und Registriereung sondern fügt unserem Profil weitere Elemente hinzu.

Für mich war mit den neuen Nutzungsbedingungen eine rote Linie überschritten. Ich werde also in Zukunft ohne FB auskommen müssen, jedenfalls solange der Dienst seine Praxis nicht wesentlich ändert, woran ich derzeit eher zweifele. Schön wären allerdings auch die hier im Forum diskutierten Projekte datenschutzgerechter Alternativen. Ich habe vor, mich demnächst etwas intensiver im Netz umzusehen – es würde mich wundern, wenn es derartige Ansätze noch nicht gibt. Von einigen, etwa Diaspora, hat man ja schon gehört. Vielleicht kann ja jemand von Erfahrungen berichten.

Mir ist völlig klar, dass mein individueller Austritt aus dem Dienst nicht viel ändert. Diese Erfahrung hatte vor einigen Jahren schon die damalige Verbraucherschutzministerin Ilse Aigner machen müssen. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“.

Mit freundlichen Grüßen

Peter Schaar