Wozu braucht es einen EU-weiten Datenschutz?

Eines der Grundrechte, auf die der Datenschutz zielt, ist die sogenannte informationelle Selbstbestimmung. Das bedeutet, dass jede und jeder grundsätzlich selbst über die Preisgabe und Verwendung der eigenen Daten bestimmen können sollte. Wenn preisgegebene Daten erst einmal im Internet sind, ist es sehr schwierig sie dort wieder heraus zu bekommen. Sie sind beständig und langfristig verfügbar und können theoretisch von jedem genutzt werden. Dies kann zur Folge haben, dass man keine Kontrolle mehr über seine Daten im Internet hat. Datenschutz soll unsere informationelle Selbstbestimmung und somit unsere Freiheit bewahren. Daher muss auch so oft die Frage beantwortet werden, ob man einverstanden ist, dass Daten verarbeitet werden. Mit der neu in Kraft tretenden DSGVO werden Unternehmen neue Pflichten auferlegt, die den Datenschutz gewährleisten sollen. Zudem werden Aufsichtsbehörden mehr Kompetenzen zugesprochen und Bürgerinnen und Bürger erhalten mehr Rechte. Unsere Daten und auch unsere Freiheit sollen dadurch besser geschützt werden.

Das Internet ist kein rechtsfreier Raum, aber gerade im Bereich des Datenschutzes war es bislang schwer, Verstöße zu ahnden. Durch den einheitlichen Rechtsrahmen, der ab dem 25.05.2018 mit der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union gilt, gibt es nicht nur bessere Möglichkeiten, gegen Datenmissbrauch vorzugehen. EU-weit erhalten die Nutzenden von digitalen Diensten auch neue und stärkere Rechte gegenüber denjenigen, die ihre Daten verarbeiten. Sie sollen besser informiert werden und müssen noch deutlicher nach ihrer Einwilligung gefragt werden, wenn ihre personenbezogenen Daten verarbeitet werden. Auf der anderen Seite soll die DSGVO auch die Internetwirtschaft unterstützen und ihr EU-weite Rechtssicherheit bei der Verarbeitung und Verwertung der Daten von EU-Bürgerinnen und -Bürgern geben.

Wovor soll Datenschutz die Menschen schützen?

Datenschutzgesetze gibt es in Deutschland schon seit über vierzig Jahren. Zum Beispiel wird darin geregelt, wie Unternehmen mit vielen Kundenkontakten, wie die Deutsche Post, oder große Versandhäuser mit ihren Kundendaten umgehen dürfen. Solche Kundendaten werden von Unternehmen schon seit Jahrzehnten ausgewertet und z. B. an die Werbewirtschaft verkauft. Von dieser Praxis und den Gesetzen, die sie regeln soll, haben die Verbraucher meist nicht viel mitbekommen.

Mit der Digitalisierung kommt es zu zwei Veränderungen: Die Menschen hinterlassen (bewusst und unbewusst) viel mehr Daten im Internet als in anderen Bereichen des öffentlichen Lebens, und die Unternehmen, die im World Wide Web vertreten sind, können überall auf der Welt sitzen. Damit stellen sich höhere Herausforderungen für den Schutz dieser Daten. Denn wir geben insgesamt – meist in kleinen Portionen – sehr viele Informationen über uns, unsere Bekanntenkreise, unser Verhalten und unsere Interessen und Vorlieben, unseren finanziellen Status und unsere Meinungen in Konsum- oder Politikfragen preis. Und dabei wissen wir meist nicht genau, wer diese Daten einsehen und auswerten kann, und wie und zu welchem Zweck sie verarbeitet und vermarktet werden. Dies ist das erste Problem vor dem Datenschutz die Menschen schützen soll: Dass sie nicht wissen, wer etwas über sie weiß und was dieses Wissen alles umfasst, und ob es missbraucht wird.

Das zweite Problem, bei dem Datenschutz helfen soll, ist, aufgrund von Datenauswertungen in Schubladen gesteckt zu werden (Profilerstellung oder Profiling). In der Wirtschaft und in der politischen Kommunikation werden personenbezogene Daten aus dem Internet genutzt, um Zielgruppen zu strukturieren. Dafür werden auf Grundlage von Internetdaten bestimmte Eigenschaften von Menschen betrachtet, die je nach Bedarf kombiniert und geordnet werden können. Die Zielgruppen mit diesen bestimmten Eigenschaften werden gewissermaßen in Schubladen geordnet, um sie – sei es als Konsument oder als Wähler – gezielt ansprechen zu können. Wenn solche Schubladen mit einer Vielzahl von Daten befüllt wurden, reichen mitunter nur wenige Daten über die einzelne Person, um sie mit einer relativ großen Treffsicherheit in eine Schublade zu stecken. Für diejenigen, die Waren oder Meinungen vermarkten, sind die Schubladeninformationen über die Marktteilnehmer von großem Wert. Für diejenigen, die in einer Schublade stecken, können die Methoden des personalisierten Marketings und der politischen Kommunikation, die man z. B. Data Driven Marketing, Behavioral Advertising (nutzungsbasierte Werbung), Profiling oder Microtargeting nennt, Risiken mit sich bringen.

Beispiele für solche Risiken sind die Gefahr von Diskriminierungen von Gruppen mit bestimmten Interessen oder Eigenschaften, aber auch die „Berechnung” von wahrscheinlichen Verhaltensweisen in der Zukunft, noch bevor der einzelne Mensch sich darüber im Klaren ist.

Damit ist bereits das dritte Problem angesprochen, bei dem Datenschutz auch eine Rolle spielt: Wenn Menschen auf Grundlage von personenbezogenen Daten diskriminiert werden. So werden schon heute Wohnungen, Versicherungen, Arbeitsstellen, Bankkredite, Sozialleistungen, politische Information, Konsumgegenstände, Lebensmittel, Medizin etc. angeboten und verteilt auf der Basis von Marktdaten, die die einzelnen Bürger selbst im Netz hinterlassen haben. Je nach Schublade, in die wir eingeordnet wurden, werden uns unterschiedliche Waren, Dienste oder sogar Preise angeboten, je nach Schublade erhalten wir unterschiedliche Suchergebnisse und Nachrichten. Neben den Risiken für den Einzelnen können durch solche Verfahren auf gesellschaftlicher Ebene Diskriminierung, Manipulation und Ausbeutung verstärkt und verfestigt werden. Schwierig ist, dies zu erkennen und zu hinterfragen, was die Gründe dafür sind, weshalb bestimmte Türen offen stehen oder nicht, da die Datenverarbeitung und die automatischen Entscheidungen in der Regel nicht transparent sind.

Ein viertes Problem ergibt sich aus der globalen Vernetzung. Daten werden im Internet innerhalb von Sekunden rund um den Globus bewegt. Damit können auch diejenigen, die die Daten verarbeiten und auswerten, überall auf der Welt arbeiten. Datenschutz muss in dieser globalen Situation so gestaltet sein, dass er die Menschen schützt, wo sie die Dienste nutzen – egal wo der Anbieter der Dienste seinen Sitz hat.

Was ist der Grundgedanke zum Schutz der Menschen in der DSGVO?

Der nun geltende, EU-weit einheitliche Datenschutz soll einerseits das Internet als Wirtschaftsraum auf eine gleiche rechtliche Grundlage stellen und das Zusammenwachsen der Volkswirtschaften der Länder fördern und andererseits zum sozialen Fortschritt und dem Wohlergehen der EU-Bürgerinnen und -bürger beitragen. Hierfür schreibt die DSGVO Unternehmen Verfahren vor, die einen sorgfältigen Umgang mit personenbezogenen Daten garantieren sollen und die Aufsichtsbehörden in ihren Kompetenzen stärken. Aber auch die EU-Bürger sind angesprochen: Sie erhalten ausführliche Informationen über die Datenschutzbedingungen der Anbieter, müssen deutlicher auf ein Einwilligungserfordernis hingewiesen werden, sollen bessere Standard-Datenschutzeinstellungen angeboten bekommen und können bei Unternehmen nachfragen und Probleme bei den Aufsichtsbehörden melden. Besser wird der Datenschutz also nur, wenn auch die EU-Bürger sich aktiv einbringen und ihre Rechte in Anspruch nehmen. Die DSGVO ist zwar verbindlich für alle Mitgliedstaaten der EU, lässt aber den Ländern in einigen Punkten einen Gestaltungsspielraum zu. Dies ist zum Beispiel bei der Altersgrenze für die elterliche Einwilligungserfordernis so (siehe: Warum gibt es in den Mitgliedsstaaten der EU unterschiedliche Altersstufen für die Einwilligungspflicht der Eltern?).

Die DSGVO beinhaltet 173 sogenannte Erwägungsgründe, die bei der Auslegung der Verordnung herangezogen werden müssen. Der erste Erwägungsgrund weist den Schutz von Personen bei der Verarbeitung personenbezogener Daten als Grundrecht im Sinne der Charta der Grundrechte der Europäischen Union aus. Die Formulierung weiterer Erwägungsgründe dient z. B. dazu, die DSGVO in einen Einklang mit anderen Gesetzen zu bringen, die Zuständigkeiten hinsichtlich der Umsetzung und Kontrolle der Verordnung zu skizzieren sowie generell einen Interpretationsrahmen für die konkrete Auslegung und Umsetzung der Verordnung zu geben.

Gerade in der Einführungsphase gibt es noch viele offene Fragen. Es ist noch nicht klar, wie die neuen Vorschriften in den Diensten dann im Einzelnen umgesetzt werden. So entwickeln die Anbieter z. B. verschiedene Verfahren, um die Einwilligung der Eltern einzuholen, wenn Kinder datenschutzrelevante Internetangebote nutzen. Dass die Angebote ausführlicher informieren müssen, was sie mit personenbezogenen Daten machen und die Nutzenden nach ihrer unmissverständlichen Einwilligung fragen, ist ein Anlass, genauer hinzusehen, was es mit der Datenschutz-Grundverordnung auf sich hat.

Für die Bürgerinnen und Bürger in Deutschland sind die Landesdatenschutzbeauftragten in den Bundesländern die Anlaufstelle. Für international agierende Internetunternehmen ist die Datenschutzbehörde des Staates zuständig, in dem die Hauptniederlassung des Verantwortlichen gemeldet ist.