Datenschutz im Internet — Quo Vadis?

Am Dienstag flatterte dank @sayho dieser nur auf den ersten Blick staubige Vortrag „Modernes Datenschutzrecht in Europa“ von Prof. Alexander Roßnagel zum 5. Europäischen Datenschutztag in unseren IRC Channel.

Bevor ich mich mit diesem Text auseinandersetze, möchte ich kurz auf  einen Gedanken von @mspro eingehen. Im Rahmen von „wir. müssen reden“ Folge 19 wurde kritisiert, dass eine Gruppe Post-Privacy-verliebter Spackos schlecht glaubwürdig Kritik am Datenschutz formulieren kann, da sie quasi von vornherein des Utopismus verdächtig wäre.
Mir leuchtet das Argument ein. Deswegen versuche ich für diesen Artikel einfach mal einen Disclaimer voranzustellen: Ich bin kein Gegner von Datenschutz und glaube, dass es auch weiterhin eine private Sphäre geben wird, und dass diese durch staatliche Regeln geschützt werden sollte. Wie groß diese Sphäre, welcher Art die Regeln und wie streng die Umsetzung sein werden, sind Fragen, die vernünftigen modernen Datenschutz von staatlicher Zensur unter einem Datenschutz-Deckmantel abgrenzen werden.

Und damit komme ich zurück zum Thema: Moderner Datenschutz, bzw. Datenschutz im Internet. Neben einem formalen Modernisierungsbedarf wegen der verstreuten und unverständlichen Normen im Datenschutzbereich kritisiert Roßnagel in der Einleitung vor allem den skandalgetriebenen politischen Aktionismus (wie ich auch hier schrieb), der Flickwerk produziert statt dem Bürger eine verständliche Form seiner Rechte zu liefern.

Auf der viel spannenderen inhaltlichen Ebene sieht er zwei neu Entwicklungen, die vom aktuellen Datenschutz nicht adäquat berücksichtigt werden:

  • Die globale Vernetzung und der neue „virtuelle Sozialraum“, in dem Spuren des realen Lebens hinterlassen werden. Die Erhebung und Verbreitung dieser Daten durch den Betroffenen ist nicht kontrollierbar. Eingesetzte Konzepte wie Zweckbindung und Datensparsamkeit wirken nur innerhalb der Grenzen des Nationalstaats. (Dies hat die EU noch nicht verstanden.)
  • Die allgegenwärtige Datenverarbeitung in Fahrzeugen, Handys und demnächst auch Stromzählern und Haushaltsgeräten in allen Teilbereichen unseres Lebens. Aus dieser Entwicklung gibt es keinen Rückzug, da reale Welt und virtuelle Welt zusammenwachsen.

Sehr treffend fand ich hier die Analyse zur nötigen Akzeptanz von Datenschutzregeln bei den Nutzern.

Wenn die allgegenwärtige Rechnertechnik gerade im Hintergrund und damit unmerklich den Menschen bei vielen Alltagshandlungen unterstützen soll, wird es niemand akzeptieren, wenn er täglich zur Durchsetzung des Transparenzprinzips tausendfach bei meist alltäglichen Verrichtungen Anzeigen, Unterrichtungen oder Hinweise zur Kenntnis nehmen müsste.

Als Vorschlage zur Verbesserung der Situation wird ein Abschied von Einzelgenehmigungen und eine ständige Datenschutzerklärung gefordert.

Ein Beispiel sind Transparenzanforderungen. Statt sie auf eine einmalige Unterrichtung und auf einzelne Daten zu begrenzen, sollten sie stärker auf Strukturinformationen bezogen sein und durch eine ständig einsehbare Datenschutzerklärung im Internet gewährleistet werden. Eine andere Transparenzforderung wäre, immer eine technisch auswertbare Signalisierung zu fordern, wenn Daten erhoben werden.

So weit, so unterstützenswert. Danach wird aber nach dem sinnvollen Hinweis auf Pseudonymität als Hilfestellung plötzlich ein „Recht auf Vergessen“ eingeführt, das mich viel zu sehr an den Radiergummi von Frau Aigner erinnert.

Je stärker das Zusammenspiel zwischen enger Zwecksetzung und strenger Erforderlichkeit bei individualisierten adaptiven Systemen an Grenzen stößt, desto stärker muss das Datenschutzrecht die Möglichkeiten sinnvollen anonymen und pseudonymen Handelns einfordern und Zweckbindung stärker auf Missbrauchsvermeidung und Erforderlichkeit stärker auf Löschungsregeln hin konzentrieren – als Voraussetzung für ein Recht auf Vergessen.

Warum brauchen wir ein „Recht auf Vergessen“? Warum sollen wir zur grundsätzlichen informationellen Selbstkontrolle des Einzelnen noch eine zeitliche Eingrenzung erlauben? Und vor allem: Wie soll das realisiert werden?

Mit diesen gemischten Gefühlen geht es weiter im Text. Die Einhaltung der Verarbeitungsregeln sollte „nicht die permanente persönliche Aufmerksamkeit erfordern, sondern muss automatisiert erfolgen“. Möglicherweise mit einer maschinenlesbaren Datenschutzerklärung und Signalsystemen die Nutzer auf Verstöße aufmerksam machen. Klingt gut. Aber auch hier stellt sich die Frage nach der Realisierung. Der Grundgedanke von Roßnagel klingt leider sehr nach staatlicher Infrastruktur.

Technischer Datenschutz hat gegenüber rein rechtlichen Vorgaben Effektivitätsvorteile: Was technisch verhindert wird, muss nicht verboten werden. Gegen Verhaltensregeln kann verstoßen werden, gegen technische Begrenzungen nicht. Datenschutztechnik kann so Kontrollen und Strafen überflüssig machen.

Zensursula, anyone? Wer richtet denn diese Systeme ein und wer will garantieren, was dort „technisch begrenzt“ wird?

Ein Ansatz, der weit viel versprechender klingt, ist der der Freiwilligkeit.

Die datenschutzgerechte Gestaltung der künftigen Welt, insbesondere die Umsetzung von Zielen wie Datensparsamkeit oder Anonymität, fordert die aktive Mitwirkung der Entwickler, Gestalter und Anwender. Sie werden hierfür aber nur zu gewinnen sein, wenn sie davon einen Vorteil haben. Daher sollte die Verfolgung legitimen Eigennutzes in Formen ermöglicht werden, die zugleich auch Gemeinwohlbelangen dienen. Datenschutz muss daher zu einem Werbeargument und Wettbewerbsvorteil werden. Dies ist möglich durch die freiwillige Auditierung von Anwendungen, die Zertifizierung von Produkten und die Präsentation von Datenschutzerklärungen. Werden diese von Datenschutzrankings oder durch die Berücksichtigungbei öffentlichen Auftragsvergaben begleitet, kann ein Wettbewerb um den besseren Datenschutz entstehen. Dann werden die Gestaltungsziele beinahe von selbst erreicht.

Bravo! Weniger Kontrolle, mehr Freiwilligkeit. Dies ist ein Ansatz, der den Benutzern soviel Schutz ihrer Daten ermöglicht, wie sie brauchen. Außerdem erlaubt er viel dynamischere Änderungen als eine statische gesetzliche Detailregelung.

Wenn ich mir die aktuell losgestoßene Datenschutzdebatte und die rasante Entwicklung der sozialen Netzwerke und Internetdienste (z.B. gibt es wohl demnächst sowas wie Fahrtenschreiber für den eigenen Browser) ansehe, dann glaube ich nicht, dass der Staat voreilig eingreifen sollte. Jeden Monat ändern sich die Bedingungen, in denen Nutzer ihre Daten mit Anderen teilen.

Als gute Denkanstöße für eine Zukunft des Datenschutzes sehe ich die durch die maschinenlesbare Datenschutzerklärung ermöglichten vereinfachten Kontrollmechanismen, solange diese in der Hand der Nutzer und nicht einer zentralen Stelle sind. Außerdem ist eine Initative zur Aufklärung über tatsächlich sensible Bereiche der Privatsphäre im Internet (Hint: weder Google Street View noch AdSense waren es) notwendig. Eine Zertifizierung von Diensten basierend auf sinnvollen Kriterien wie Einstellbarkeit der Datenflüsse und Güte der Standardeinstellungen bzw. Informationen dazu wäre eine gute Basis für ein Datenschutzbewusstsein auf Herstellerseite, das auf Freiwilligkeit basiert. So kommt man auch ohne Kontrolle der Datenschützer oder staatlichen wohlmeinenden Stellen zu seinem Schutz der Privatsphäre. Und zwar so viel Privatsphäre, wie jeder sich wünscht.

Dazu müssten die Aktionisten unter den Daten- und Verbraucherschützern sich aber mal wirklich Gedanken machen, und zusammen mit der Öffentlichkeit an einer sinnvollen Weiterentwicklung des Datenschutzrechts arbeiten. Solange die diesbezügliche Politik von Panik bestimmt ist, kann und wird dem Nutzer nicht geholfen.

Advertisements
Dieser Beitrag wurde unter Uncategorized veröffentlicht. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Datenschutz im Internet — Quo Vadis?

  1. Psilokephalos Megalogaster schreibt:

    Wenn das denn die offizielle Parteilinie bei den Piraten werden soll, werde ich meine Wahlentscheidung wohl noch mal überdenken müssen. Da könnte ich ansonsten ja gleich CxU wählen, deren Innenminister hecheln ja gerdezu danach, sich alle persönlichen Daten unter den Nagel zu reißen. Und Du willst, daß ich sie denen auch noch freiwillig in den Rachen stopfen soll? Oder hast Du einfach vergessen, Dein Ersatzhirn nach dem letzten Ecstasyrausch abzuholen, oder wie kommt so ein Bockmist sonst zu Stande?

  2. Simon Lange schreibt:

    Sorry, aber das kann man auch aufs wesentliche runterbrechen ohne sich in den Details zu verlieren. Gute Lösungen bestechen durch Einfachheit und nicht durch Komplexität.

    Es ist ganz einfach, wenn jemand Daten über mich speicher muss er das mir melden – unaufgefordert und unverzüglich. Wenn ich Informationen nicht gespeichert haben will, dann darf ich das untersagen, ganz gleich ob ich das vorher erlaubt habe oder nicht UND dann muss dem auch nachgegeben werden ohne wenn und aber. Datenschutz-Verstösse müssen empfindlich geahndet werden und sollten am Umsatz gemessen werden (Unternehmen Jahresumsatz, Privatpersonen Gehalt). Datenschutzbeauftragte sollten umfangreichere Befugnisse bekommen. Insbesondere gegenüber Unternehmen.

    Gelten dererlei grundlegende Regeln, dann sind die Details leicht daran abzuleiten, ohne das man jede zu erdenkende Möglichkeit der Abwendung durchgekaut hat.

    • cfritzsche schreibt:

      Genau, dann lass den mächtigen Datenschützer doch einfach Blogs und Foren sperren weil sie böse IPs in die USA schicken und verhindere effektiven Datenschutz weiterhin dadurch, dass der Nutzer jede Speicherung einzeln bestätigen muss, statt sich über die Verwendung der Daten Gedanken zu machen.
      Der einzige Weg für den Staat, das durchzuziehen wäre, eine Kontrollinfrastruktur mit massiven personellem Aufwand. Sonst kannst du eh nur die größeren Unternehmen angehen, und die lächeln ob deiner Drohungen nur milde.

      • Simon Lange schreibt:

        Was hast Du nicht verstanden?
        Und wenn Du auf den Fall in Niedersachsen ansprichst, dann solltest Du wissen dass das dortige Vorgehen eben NICHT durch die bestehende Gesetzgebung gedeckt war und der Datenschützer auch nicht gerade wenig Kritik aus dem eigenen „Lager“ geerntet hat.

        Vielleicht solltest Du Deine Polemik ein wenig zügeln und den Weg zur Sachlichkeit wiederfinden.

        • cfritzsche schreibt:

          Ich hab dich schon verstanden. Ist ja nur der Status Quo mit mehr Macht für die Datenschützer. Nur ist es halt nicht durchsetzbar. Darum geht es ja.

          PS. Nicht jede Webseite braucht ein Impressum.

      • Simon Lange schreibt:

        btw: Auf deiner Webseite fehlt das Impressum. 😉

      • Simon Lange schreibt:

        Durchsetzbar ist alles. Nur wer bereits vor der Reise aufgibt wird das Ziel nie erreichen. Entscheidend ist also was wir wollen. Und Du selbst hast ja die Ziele der Piraten referenziert.

        In Deutschland gilt Impressumpflicht das Gebot der Anbieterkennzeichnung. Ausgenommen sind familiäre und persönliche Seiten wenn diese zB nicht der Allgemeinheit zur Verfügung stehen (zB weil gesichert durch Passwort etcpp).

        Schneller Link:
        http://de.wikipedia.org/wiki/Impressumspflicht#Keine_Impressumspflicht

        Und Deine Seite ist öffentlich UND nicht Passwort-gesichert UND auf anderen Seiten „beworben“ (Link Setzung).

        Aber mir solls egal sein, bin ja kein Abmahnanwalt. 😉

        • cfritzsche schreibt:

          Was ist denn da durchsetzbar? Wenn sich Facebook weigern würde, deutsches Datenschutzrecht zu erfüllen, was willst du denn machen? Die Seite sperren? Hatten wir das nicht schonmal?
          Durchsetzbar mag Vieles sein, aber um welchen Preis..

      • Simon Lange schreibt:

        Du verlierst Dich in Details. Detaildiskussionen sind nutzlos und bringen uns nicht weiter.

        Nach Deiner Logik können wir auch Diebstahl legalisieren, denn 100% Schutz vor Diebstahl ist nicht durchsetzbar.

        Es ist eben der Wille und das Instrument das zählt. Natürlich stehts im verfassungskonformen Rahmen, was Deine Sperr-Phobie gleich wieder verschwinden lassen dürfte. 😀

        Also bleiben wir beim Thema und vermeiden Detail-Beispiele die außer Ablenkung keinen Zweck haben.

        • cfritzsche schreibt:

          Das ist kein Detail sondern ein grundsätzliches Problem. Den Dieb lässt du per Interpol festnehmen und gut ist. Ein – nach deutscher Sicht – Datenschutzvergehen am anderen Ende der Welt kannst du nicht mit verfassungskonformen Mitteln durchsetzen.
          Außerdem ist Datenschutz im Gegensatz zu innerer Sicherheit keine hoheitliche Aufgabe sondern vor allem ein Schutz gegenüber dem Staat.

      • Simon Lange schreibt:

        Weshalb man sich nicht in Einzelfällen verliert wie FB die in dieser Diskussion gar keine Relevanz haben oder zumindest nur eine niedrig priorisierte. Denn der Groß an Datenschutzverletzungen oder an Fällen in welchen die Informationelle Selbstbestimmung und der Datenschutz mit Füssen getreten wird, ist in deutschen Unternehmen und insbesondere in deutschen Amtsstuben anzutreffen.

        Und wenn wir erstmal zumindest im deutschen Zugriffsbereich Datenschutz und Informationelle Selbstbestimmung leben können, dann kann ein Außenminister einer der stärksten Industrienationen des Planeten Erde sicherlich auch Druck gegenüber anderen Ländern forcieren. Aber lasst uns erst über derartiges diskutieren wenn es soweit ist, denn Priorität hat DIESES Land, in welchen wir leben.

        Und wer FB seine Daten gibt, einem amerikanischen Unternehmen ohne Sitz in Deutschland, der darf sich IMHO nicht gross beschweren das seine IS und DS Ansprüche zugunsten von nationalen Problemen niedriger priorisiert sind.

        • cfritzsche schreibt:

          Klar, wenn du in einem Nationalstaat bleibst in der Betrachtung ist fast alles gut. Leider ist das seit mindestens 10 Jahren vorbei. Eine Lösung im Datenschutz im nationalen Rahmen gibt es nicht.
          Wie du als europäische Mittelmacht Druck auf den Rest der Welt ausüben willst, um Datenschutz durchzusetzen, will ich mir garnicht vorstellen. Das schaffen ja nicht mal die USA mit ihrem „geistigen Eigentum“.

    • BrumBrumBrum schreibt:

      Ich würde Simon zustimmen.
      Die nicht-(juristische)-durchsetzbarkeit kann doch nicht das Argument sein.
      Es wurde auch an anderen Stellen in diesem Blog schon beschrieben, dass das Konzept der Privatssphäre noch nie vollständig einheitlich war und es auch immer Ausbrüche gabt (als Wikileaks anfang des Jahres diskutiert wurde gab’s doch auch schon dieses Beispiel mit den veröffentlichten Depeschen aus dem 15 Jhd. oder so).
      Wenn also vollständige Kontrolle nicht möglich ist und nie war, dann frag ich mich warum ausgerechnet jetzt der Zeitpunkt gekommen ist sich nicht weiter darum zu bemühen die Kontrolle doch soweit zu bewahren wie es eben geht, sondern man nun hinwerfen sollte um sich der Post-Privacy zu ergeben?
      Das kann man ja in 10 Jahren auch noch machen, wenn wirklich _alle_ online sind und nicht nur alle unter 25..

      • cfritzsche schreibt:

        Mir geht es nicht darum, den Datenschutz hinzuschmeißen, sondern so zu reformieren, dass man „die Kontrolle doch so weit bewahren“ kann, wie es eben geht.
        Warum jetzt? Weil das Problem durch allgegenwärtige Datenverarbeitung und globale Vernetzung gerade offensichtlich und schmerzhaft wird.
        Sich in 10 Jahren um reformierten Datenschutz zu kümmern heißt, ihn jetzt aufzugeben.

      • BrumBrumBrum schreibt:

        Dann wir ja was das angeht einer Meinung. Nur mir fehlt dann der Bezug zum Spackeria-Post-Privacy-Dingens.

        • cfritzsche schreibt:

          Das ist erstmal unabhängig von Post-Privacy. Unter dem Dach dieses Blogs ist bisher und soll weiterhin Kritik am aktuellen Datenschutz formuliert werden. Ich denke, das habe ich getan.

  3. BrumBrumBrum schreibt:

    Ein Problem bei der Durchsetzung dieser ganzen Maßnahmen ist doch das (z.B) Facebook, aber auch Google als quasi-Monopol diese Regeln einfach selber machen kann. Die haben ja kein Interesse daran irgendwelche Datenschutzfördenrden Techniken einzubauen wenn sie nicht gesetzlich dazu gezwungen werden. Bisher agieren die ja eher unter dem Deckmantel der Wahlfreiheit „Wer sich um seine Daten sorgt muss es ja nicht nutzen“. Das ist in Anbetracht der Marktmacht natürlich Quatsch. Man kann nur hoffen, das Diaspora und ähnliches die Wahlfreiheit da erhöhen.

    Und darüber hinaus gibt es schon eine Haufen Leute die sich ernsthaft mit solchen Techniken auseinander setzen (z.B. http://www.primelife.eu/) und auch technische Mittel entwickeln mit denen der Missbrauch erschwert wird. Darunter fällt ja nicht nur der Datenaustausch zwischen einzelnen Personen über Dienstanbieter sondern auch der Austausch zwischen Dienstanbietern, der vollkommen technisch (über Schnittstellen) realisiert und damit durchaus einfacher zu regulieren ist (über Zertifikatsmechanismen etc..)

  4. Sven schreibt:

    Gerade den Bericht auf Spiegel-Online gesehen, Ihr seid so Hohl im Schädel!

    • Simon Lange schreibt:

      Das war ein bisserl undifferenziert oder?

      • Melebert schreibt:

        Hol ist derlei Wortmeldung in jedem Falle. Nur muss derjenige, der mit griffigen Parolen (in großen Medien) hausieren geht, damit rechnen, dass sich adäquate Wortmeldungen als Kommentare wiederfinden.

        Nein, ich finde solche Kommentare nicht gut, aber das Interview auf Spiegel mit seinem Grundtenor ist keine Hilfe bei einer Diskussion, die man offen halten möchte. Die klare Botschaft scheint zu sein: „Wer nicht so denkt wie wir, denkt falsch und ist hornalt. Aus den Eighties halt. “

        Ja, Datenschutz wird gerade auch dahingehend instrumentalisiert, um damit die Meinungshoheit über das Internet mit all seinen Kommunikationsformen zu gewinnen. Genauso wie man es auf EU-Ebene mit den Netzsperren im Namen der Kinder versucht und die VDS versucht durchzudrücken.

        Aber genau aus diesen Gründen sollte man sehr viel Wert legen auf den Schutz der Privatsphäre und den Datenschutz nicht deshalb abschreiben, weil man im Moment keinen Weg sieht, diesen durchzusetzen, damit man wirklich selbstbestimmt über seine privaten Daten bestimmen kann.

        Die Sozialen Netzwerke sind nur ein Randthema. Viel wichtiger ist die Datensammelwut der Staatlichen Organe und der im Netz tätigen Firmen. Ein durchsetzbarer Schutz der Privatsphäre fängt da schon auf nationaler Ebene an.

        Nur weil Facebook international agiert und nicht sofort fassbar ist, heißt es noch lange nicht, das man nicht anderen national Agierenden nicht auf die Finger klopfen sollte.

        Die Alternative scheint eine verkaufte Privatsphäre. Da sträube ich mich dagegen,weil ich das nicht akzeptieren kann: „Die Würde des Menschen ist unantastbar.“ Steht so oder ähnlich ganz vorne in einigen sehr grundlegenden Werken.

        Diesen Grundsatz will ich nicht aufgeben und
        ja, Würde und Privatsphäre sind für mich fest miteinander verknüpft.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s