Privatsphäre im Ausverkauf

Neues Datenschutzgesetz mit Skepsis betrachtet

Seit mehreren Jahren arbeitet die Europäische Union ­unter Hochdruck am Entwurf eines neuen Datenschutz­gesetzes. Mittlerweile hat man die Endphase der ­Planungen eingeläutet, wobei Datenschützer einige ­Neuerungen eher skeptisch sehen.

Sales-Schild

Privatsphäre im Ausverkauf? Das neue Datenschutzgesetz wird mit Skepsis betrachtet.

Eines vorneweg: Der Plan, ein für die derzeit 28 Mitgliedstaaten einheitliches Datenschutzniveau festzuschreiben, ist ein durchaus hehres Ziel. Denn damit, so die große Hoffnung, sollen die von internationalen (US-)Konzernen genutzten Ungleichgewichte des Datenschutzniveaus beseitigt werden. „Zudem soll für Unternehmen künftig ein sogenanntes ,One Shop Stop‘-Prinzip gelten. Dies bedeutet, dass Firmen in Europa nur noch einen statt wie bislang 28 Ansprechpartner bei den Datenschutzbehörden haben“, betont Dr. Michael Friedewald vom Fraunhofer-Institut für System- und Innovationsforschung (ISI) in Karlsruhe.

Allerdings doktern gleich drei Parteien am künftigen Regelwerk herum: nämlich das Europäische Parlament, die EU-Kommission sowie der Europäische Rat. Dabei unterscheiden sich die Entwürfe der jeweiligen Institution in wesentlichen Fragen mitunter noch sehr stark. Die divergierenden Auslegungen zeigt dabei die vom höchsten europäischen Datenschützer – dem European Data Protection Supervisor – initiierte Android- und iOS-App „EU Data Protection“. Hier werden die bislang geplanten Gesetzestexte übersichtlich nebeneinander gestellt.

„Seit dem 24. Juni 2015 finden nun die abschließenden Verhandlungen der drei Institutionen – der sogenannte Trialog – statt, in dem die endgültigen Inhalte etwa hinsichtlich der vorgesehen Sanktionen festgelegt werden“, berichtet Friedewald. Der endgültige Abschluss der Verhandlungen wird für Ende dieses Jahres erwartet. Generell besteht extrem großer Handlungsbedarf. Denn die bis dato geltenden europäischen Datenschutzbestimmungen muten inzwischen recht altertümlich an: Sie stammen aus dem Jahre 1995, als man von einer flächendeckenden (mobilen) Internet-Verbreitung sowie einer gesellschaftlichen Durchdringung von Smartphones und Tablets noch nicht einmal träumte. Die bisher vorgesehenen Inhalte der offiziell als EU General Data Protection (Datenschutz-Grundverordnung) deklarierten Vorgabe lehnen sich an die Juristensprache an und gestalten sich von daher recht komplex. Demzufolge verwundert es kaum, dass sich neben zahlreichen Befürwortern der neuen Richtlinien auch etliche kritische Stimmen melden, die ob fehlender Transparenz die Privatsphäre von EU-Bürgern gefährdet sehen.

Zunächst fallen jedoch einige positiven Aspekte ins Auge. Lobenswert sind unter anderem die Grundzüge der neuen Verordnung, die mit dem bisherigen Ansatz weitgehend übereinstimmen: „Für die Verarbeitung personenbezogener Daten ist grundsätzlich weiterhin eine gesetzliche Regelung oder eine informierte Einwilligung nötig. Nur die für den jeweiligen Zweck erforderlichen Daten dürfen verarbeitet werden“, berichtet Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein. Und weiter: „Die Daten müssen vor Missbrauch geschützt werden. Überdies kann die Verantwortung für die Datenverarbeitung nicht einfach abgeschoben werden.“ Im Zuge der Neuausrichtung des Datenschutzes plant man überdies die EU-weite Etablierung allgemeingültiger Gütesiegel und Zertifizierungen. Dies würde den Verbrauchern in die Karten spielen, helfen solche Siegel doch bei der Identifikation datenschutzfreundlicher Services und Technologien. Erfreulich stimmt überdies die Vorgabe, dass Unternehmen nach wie vor eine Informationspflicht haben, sollten sie persönliche Daten erheben.

Das heißt, die Bürger können – zumindest theoretisch – in alle über sie gespeicherten Daten Einsicht nehmen. „Neben den Auskunftsrechten für die Verbraucher sehen die Maßnahmen auch das Recht auf Datenlöschung sowie Datenportabilität vor“, ergänzt Holger Stelz, Director Business Development bei Uniserv, einem Anbieter für das Datenmanagement.

Desweiteren soll der Ansatz „Data Protection by Design“ künftig eine stärkere Rolle spielen, was zunächst positiv ist. Denn die Methode besagt laut Marit Hansen, dass „die Datenschutzanforderungen bereits bei der Gestaltung der Verarbeitungssysteme zu berücksichtigen sind sowie datenschutzfreundliche Voreinstellungen gegeben sein sollen.“ Inwieweit dies in der Praxis jedoch tatsächlich umgesetzt wird, bleibt offen. Denn nicht selten hört man aus Entwicklerkreisen, dass die Anforderungen der Wirtschaft eine unwiderrufliche Löschung von Datensätzen per se nicht vorsehen. Vielmehr werden Software-Entwickler dazu angehalten, zu „löschende“ Datensätze für die Anwender bestenfalls unsichtbar darzustellen. Hintergrund dieses Vorgehens ist, dass der wirtschaftliche Schaden gelöschter Daten höher eingestuft wird als die Verletzung gesetzlicher Datenschutzvorgaben.

Das Ende der Datensparsamkeit?

Große Uneinigkeit zwischen EU-Gremien herrscht momentan hinsichtlich der sogenannten Datensparsamkeit. „Das Prinzip der Datensparsamkeit bedeutet, dass nur die wirklich erforderlichen personenbezogenen Daten verarbeitet werden“, so Marit Hansen. Dies hängt zum einen vom Zweck der Datenverarbeitung ab, zum anderen von der technischen Realisierung, bei der beispielsweise nicht mehr Daten als nötig abgefragt werden dürfen und auch ein Augenmerk auf temporäre Datenspeicherungen gelegt wird.

Laut Michael Friedewald war es eine Grundüberlegung der Kommission, dieses Grundprinzip des Datenschutzes beizubehalten. Im Entwurf des Ministerrats findet man jedoch widersprüchliche Passagen. „Deshalb schlägt der Ministerrat momentan vor, das Prinzip der Datensparsamkeit aufzugeben“, erklärt Friedewald. Ein Vorhaben, dass viele Kritiker bemängeln. Dabei befinden sich die EU-Politiker in einem Dilemma: Denn in Zeiten von Digitalisierung und Big Data sind Unternehmen bestrebt, so viele Daten wie möglich zu sammeln, um sie gewinnbringend für ihre Geschäftszwecke einzusetzen. Was wiederum oftmals im Widerspruch zum aktuellen Bundesdatenschutzgesetz (BDSG) und dessen Postulat der Datensparsamkeit steht. „Inwiefern beim Umgang mit Daten sparsam vorgegangen wird, ist allerdings nicht nur Sache des Datenverarbeiters, sondern auch des Inhabers“, betont Hans-Günter Börgmann, Geschäftsführer beim Software-Anbieter Iron Mountain Deutschland. Ihm zufolge muss auch Dateninhabern bewusst sein, dass ihre Informationen bis zu einem gewissen Grad verarbeitet werden müssen, etwa zur Kontaktpflege, was durchaus Vorteile für die Kunden mit sich bringen kann. „Wenn ein Inhaber im Vorhinein nicht möchte, dass bestimmte Informationen von ihm dauerhaft bei einem Unternehmen gespeichert werden, muss er zum Opt-Out greifen und sie einfach weglassen“, erklärt Börgmann.

Im Zusammenhang mit der Bearbeitung persönlicher Daten werden zudem bestimmte Instrumente wie Anonymisierung und Pseudonymisierung eingesetzt, um Datenschutzrisiken zu minimieren. „So kann man etwa aggregierte Daten, quasi als statistische Werte, veröffentlichen, wenn dadurch der Personenbezug ausgeschlossen ist“, beschreibt Marit Hansen ein Szenario. Kaum überzeugt von solchen Methoden zeigt sich Michael Friedewald. Seiner Meinung nach sei es viel zu einfach, anonymisierte Daten durch Datenkombinationen wieder zu re-personalisieren. Überdies verweist er auf andere Verfahren wie Scoring. Diese identifizieren zwar keine Personen, können sie aber einer bestimmten Gruppe zuordnen. Eine solche Gruppe – etwa Diabetiker, Einwohner eines bestimmten Stadtviertels oder Kunden eines bestimmten Geschäfts – genießen laut Friedewald dann keinen Datenschutz.

Schmerzhafte Bußgelder

Nicht zuletzt sieht bereits die bisherige Datenschutzverordnung verschiedene Sanktionen vor, sollten Unternehmen die Privatsphäre von EU-Bürgern mit Füßen treten. Allerdings hält man es hier eher mit der Theorie. Denn in der Praxis waren drakonische Strafen bislang Fehlanzeige und Verstöße gegen den Datenschutz – insbesondere von einschlägigen US-amerikanischen Anbietern – wurden von den EU-Behörden eher lax gehandhabt.

Gemäß aktuellen Vorgaben fällt die Einhaltung des Datenschutzes in der EU noch in die Hoheit der einzelnen Mitgliedsstaaten. Von daher gibt es hier krasse Unterschiede: In einzelnen Staaten wie z.B. Irland existieren überhaupt keine Strafen und in anderen Ländern wie Österreich betragen diese maximal 25.000 Euro. So lag es in der Vergangenheit auf der Hand, dass Nicht-EU-Anbieter ihren europäischen Hauptsitz erst einmal in Irland etablierten, wo man gleichzeitig noch schön Steuern sparen kann.

Inwieweit sich die Strafverfolgung bei Datenschutzverstößen innerhalb der EU in Zukunft ändern wird, bleibt abzuwarten. Zwar will man das Strafmaß drastisch nach oben schrauben und diskutiert Strafzahlungen von bis zu 100 Millionen Euro bzw. fünf Prozent des weltweiten Jahresumsatzes eines Unternehmens. „Dadurch eröffnet sich für die Wirtschaft ein signifikant hohes finanzielles Risiko, sodass der Entwurf des Parlaments mit Kartellrechtsverstößen vergleichbar ist“, schätzt Friedewald die Lage ein. Allerdings kommt es jenseits der gesetzlich vorgesehenen Strafen auch stets auf die Reaktionen der Aufsichtsbehörden an, bei denen es nicht selten bereits aufgrund fehlender Personalressourcen Durchsetzungsprobleme gibt. „Da Bußgelder durchaus schmerzhaft ausfallen können, sollten sich die Verantwortlichen eine Strategie überlegen, wie sie den geplanten EU-Maßnahmen entsprechen können. Denn in der Realität liegen Kundendaten oft in verschiedenen IT-Systemen – z.B. ERP, CRM, Support-Ticketing oder E-Mail-Kampagnentools – im ganzen Unternehmen verteilt“, erklärt Holger Stelz. Darüber hinaus seien die Datenbanken dieser Anwendungen zumeist nicht miteinander verlinkt, sodass sich eine Vielzahl heterogener Datenquellen und verschiedener Datenstrukturen ergeben. „Datenredundanzen und -silos sind daher an der Tagesordnung“, glaubt Stelz. „Nehmen Verbraucher dann ihr Recht in Anspruch, Daten berichtigen oder löschen zu lassen, kann das Unternehmen meist nicht ausreichend sicherstellen, dass alle Daten in allen Systemen korrigiert wurden.“

Abhilfe schaffen hierbei verschiedene Vorgehensweisen. So rät Holger Stelz dazu, Data-Governance-Strategien und -Programme zu fördern. Denn oftmals mangelt es an den Prozessen oder es hapert daran, dass Mitarbeiter gar nicht wissen, wie sie rechtskonform mit Kundendaten umgehen müssen. „Außerdem fehlt häufig ein Kontrollsystem für den Umgang mit Kundendaten“, ergänzt Stelz. Er fordert vor allem, die innerbetriebliche Selbstkontrolle zu stärken. „In diesem Rahmen wäre es sinnvoll, verpflichtend Datenschutzbeauftragte einzusetzen. Das geplante EU-Vorhaben sieht eine solche Verpflichtung jedoch nicht vor. Deshalb fordert Marit Hansen eine Verbesserung der Regelungen hinsichtlich der betrieblichen Datenschutzbeauftragten – auch, da sich diese Position in Deutschland in der Vergangenheit äußerst bewährt hat.

Doch auch die Politik auf europäischer Ebene hinkt den technologischen Errungenschaften hinterher. So sollten sich die Verantwortlichen unbedingt mit brandaktuellen Themen wie dem Internet der Dinge (Internet of Things, IoT) und der damit zu erwartenden Datenflut – insbesondere aus Smart Homes, Smart TVs oder Connected Cars – beschäftigen. Vor diesem Hintergrund warnen Experten vor einem „Verstecktem Internet“. Denn die hierbei entstehenden Daten über das Nutzerverhalten, ihre Weitergabe und Verarbeitung stellen den Schutz von Privatsphäre und informationelle Selbstbestimmung vor neue, noch weitgehend ungelöste Herausforderungen. Nicht nur aus diesem Grund betont Michael Friedewald, „dass vor allem die Nutzer selbst gefragt sind, künftig bewusster mit ihren persönlichen Daten und IoT-Endgeräten sowie den damit verbundenen Risiken umzugehen“.


Digitale Selbstverteidigung
„Es gibt keinen hundertprozentigen Schutz. Aber es gibt eine Reihe wirksamer Maßnahmen, die das Risiko verringern, sich auf Schritt und Klick erfassen zu lassen, um verraten und verkauft zu werden.“ In welchem Ausmaß Spionageorganisationen in aller Welt die Daten und damit intime Details unbescholtener Bürger illegal absaugen und speichern, wissen wir spätestens seit Edward Snowden. Aber auch kommerzielle Unternehmen wie Facebook, Google und Co. verfolgen die User im Netz auf Schritt und Tritt. Doch inwieweit können private Daten überhaupt gegen diese Übermacht geschützt werden? Vor diesem Hintergrund haben Steffan Heuer und Pernille Tranberg mit dem Taschenbuch „Mich kriegt ihr nicht!“ eine digitale Selbstverteidigungsschrift vorgelegt. Das Buch soll dabei kein Plädoyer für den Verzicht auf das Internet im Allgemeinen und soziale Medien im Besonderen sein. Vielmehr handle es sich um einen aufgeklärten und durchaus misstrauischen Umgang mit beidem und darum, wie man die Kontrolle über die eigene Identität bewahren oder zurückerobern kann.
Im Internet: www.murmann-publishers.de


Bildquelle: Thinkstock/Fuse

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok