Wir haben in Rahmen einer "COMPUTERWOCHE-Debatte" mit dem Bayerischen Landesdatenschutzbeauftragten Thomas Petri und Rechtsanwalt Wilfried Reiners über diese Fragen gesprochen. Sehen Sie zunächst das Video, in dem die Diskutanten ihre Positionen auf den Punkt bringen und Thomas Petri auch noch ein wenig zum aktuellen Stand der EU-Datenschutzreform berichtet:
Im Folgenden lesen Sie die ausführliche Diskussion rund um das Thema "Datenschutz vs. Datensouveränität"...
Mehrere Dimensionen des Datenschutzes
CW: Erklären Sie uns bitte eingangs, wie Sie den Begriff "Datenschutz" persönlich auslegen.
THOMAS PETRI: Das Thema Datenschutz umfasst mehrere Dimensionen und Funktionen. Das maßgebliche Ziel des Allgemeinen Datenschutzes ist der Schutz vor Missbrauch. Der zweite Aspekt ist, dass der Mensch Rückzugsräume braucht, wo er für sich allein sein kann, die Möglichkeit zum persönlichen Gespräch hat, sich unbeobachtet fühlen kann. Also die Privatsphäre. Der dritte Aspekt ist das Gestaltungsrecht, das das Bundesverfassungsgericht im Dezember 1983 festgelegt hat. Der Einzelne muss selbst mitbestimmen können, wann er welche Daten über sich preisgibt und wann diese verwendet werden - gegenüber dem Staat und auch gegenüber der Wirtschaft. Der Begriff "informationelles Selbstbestimmungsrecht" ist als solches zwar etwas sperrig, trifft im Kern aber den Punkt der Sache.
Es gibt noch eine vierte Dimension, die die dritte in technischer Hinsicht unterstützt. Diese ist noch nicht so ganz im Bewusstsein der Menschen angekommen - das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme". Einige sagen "IT-Grundrecht" dazu. Das hat das Bundesverfassungsgericht abgeleitet aus der Diskussion um die Online-Durchsuchung. Hier geht es darum, den Schutz vor Angriffen auf IT-Systeme wie beispielsweise Smartphones, vorzuverlagern. Darum, diese IT-System als solches zu schützen anstatt die darauf gespeicherten einzelnen personenbezogen Daten, um eine unbotmäßige Ausforschung, aber auch die Manipulation dieser Daten zu verhindern.
Datensouveränität als Grundprinzip?
WILFRIED REINERS: Ich möchte beim vierten Punkt sogar noch ein Stück weiter gehen und zwei weitere Beispiele anfügen, ohne sie zu bewerten. Das eine sind Apps, bei denen der Anwender den Nutzen über das Thema Datenschutz stellt. Wer viel reist, nutzt beispielsweise Taxi-Apps. Für ihn ist viel wichtiger, dass er zu einem bestimmten Zeitpunkt ein Taxi an einen bestimmten Ort bestellen kann, als die Tatsache, dass er dabei viele Informationen über sich selbst preisgibt. Je jünger die Menschen sind, desto mehr steht für sie ein bestimmter Service im Vordergrund als der Datenschutz.
Ein zweites Beispiel ist das Auto, das heute mindestens so viel über uns weiß wie das Smartphone - wenn nicht sogar noch mehr. Die Frage ist, was mit den Daten in solchen Systemen geschieht. Hier möchte ich eine weitere Dimension dazugeben - den Wert der Daten. Ich bin dafür, dass das Individuum an diesem Wert partizipieren sollte - zumindest sollte ihm die Entscheidung darüber zugestanden werden, ob es daran partizipieren möchte oder nicht.
CW: Herr Petri, wie stehen Sie der Idee der individuellen Datensouveränität gegenüber?
PETRI: Den Verbraucher partizipieren zu lassen, hört sich ja erst einmal gut an. Wir müssen uns dann genau anschauen, was das "Recht auf informationelle Selbstbestimmung" genau bedeutet, was es bedeutet, den Bürger als "Datensouverän" zu betrachten. Das Bundesverfassungsgericht hat zwei Aspekte benannt - einmal den individuellen, dass der Verbraucher sich selbst um seine Daten kümmert. Hier geht es auch um die Voraussetzungen, die erfüllt sein müssen, damit der Verbraucher selbst entscheiden kann. Das vermisse ich bei Diskussionen um die wirtschaftliche Verwendbarkeit oft.
Es kommt zur "inneren Zensur"
Zum zweiten gibt es den objektiven, gesellschaftlichen Aspekt. Was passiert denn eigentlich, wenn wir den Menschen gläsern machen und überall die Datenquellen sprudeln lassen? Wie wird sich unsere Gesellschaft dann verändern? Diese Fragen hat sich auch das Bundesverfassungsgericht gestellt und ist zu folgendem Ergebnis gekommen: Wenn der Einzelne die Kontrolle über seine Daten verliert, weiß er nicht mehr, wer was über ihn weiß. Und dann wird es zumindest unterbewusst zu einer inneren Zensur bei den Menschen kommen. Erste Studien beweisen, dass dem tatsächlich bereits so ist. Wenn sich Menschen beobachtet fühlen, ändern sie ihr Verhalten - oft ist ihnen das aber gar nicht bewusst. Das ist eine heikle Entwicklung.
Und jetzt noch einmal zurück zu der individuellen Komponente. Herr Reiners hat ja bereits Beispiele für potenzielle Datenquellen genannt - man könnte sicherlich auch das Thema "Smart Home" noch hinzunehmen. Mir stellt sich die Kernfrage: Wie bleibt der Verbraucher denn der Datensouverän? Welche Voraussetzungen muss er dafür erfüllen? Oder ist das Ganze voraussetzungsfrei, ist der Verbraucher per se souverän - weil er ein verständiger Mensch ist, der weiß was er tut und den Umgang mit seinen Daten selbst aushandelt?
CW: Ihre Meinung?
PETRI: Ich gehe schon davon aus, dass die meisten Verbraucher dazu in der Lage sind - und sicherlich ist es auch gar nicht falsch, hin und wieder auf die Eigenverantwortlichkeit zu verweisen. Dennoch ist zu berücksichtigen, dass es immer ein Ungleichgewicht zwischen dem Unternehmen, was ein Interesse an der Datenverarbeitung und der kommerziellen Verwertung hat, und dem Verbraucher geben wird. Zum einen deshalb, weil es das Unternehmen ist, das die Daten verarbeitet und über Zweckbindung und Zielsetzung der Datenverarbeitung entscheidet. Geht es nur darum, einen bestimmten Service kostenlos anzubieten beziehungsweise dem Nutzer einen Rabatt zu gewähren, wenn er seine Daten herausgibt? Oder geht es letztlich dann doch um Bonitätsprüfungen oder noch weitergehende Dinge? Das weiß der Verbraucher alles noch nicht, wenn er den Datenwert aushandelt - das weiß nur das Unternehmen.
Ungleiche Verhandlungsbasis
Zum anderen herrscht ein Ungleichgewicht, weil Vertragsverhandlungen heute doch ganz anders ablaufen als im Jahr 1896, als das Bürgerliche Gesetzbuch konzipiert wurde. Nach damaliger Auslegung hieß es: "Verbraucher und Anbieter bewegen sich auf Augenhöhe." Davon ausgehend, würden wir heute als einzelner Verbraucher gleichberechtigt mit dem Global Player Google verhandeln, der Milliardengewinne einfährt. Die Erfahrung zeigt aber: Wenn dieses Verhältnis heute nicht reguliert wird, nutzt derjenige am längeren Hebel das zu seinen Gunsten aus.
Foto: Symantec
Daraus folgt auch ein dritter wichtiger Punkt: Wenn Sie heute als Privatmensch mit Unternehmen - auch mit kleinen oder mittelständischen - in Kontakt treten, haben Sie als Verbraucher fast nie eine wirkliche Verhandlung. Das Unternehmen legt seine AGBs vor und der Verbraucher hat nur die Wahl, sie anzunehmen oder das Geschäft platzen zu lassen.
Kurzum: Wenn wir über Datensouveränität sprechen wollen, müssen wir uns über diese Voraussetzungen im Klaren sein. In diesem Licht sind die deutschen Datenschutzgesetze im Detail zwar vielleicht ein wenig "überdreht" und bürokratisch, im Großen und Ganzen aber gar nicht so schlecht als Rahmenbedingung. Es ist ja nicht so, dass Sie nach dem Bundesdatenschutz- und dem Telemediengesetz überhaupt keine Datenverarbeitung auf vertraglicher Grundlage vereinbaren können. Es ist vielmehr eingehegt.
CW: Wo ist dann das Problem?
PETRI: Um auf das Beispiel mit der App zurückzukommen: Ich finde schon, dass der Verbraucher die Wahl haben darf zwischen fünf Euro jährlicher Nutzungsgebühr und der kostenfreien Nutzung unter Preisgabe bestimmter persönlicher Daten zu Werbezwecken. Darüber kann man reden. Die Frage ist eher die nach den Rahmenbedingungen des Anbieters. Was geschieht, wenn der Verbraucher die App nicht mehr nutzen möchte? Wie lange läuft die Erlaubnis zur Datenverarbeitung? Gibt es überhaupt zeitliche Begrenzungen?
Wie wird denn sichergestellt, dass die Daten vor dem Zugriff Unbefugter geschützt sind? Wir haben aktuelle Fälle millionenfacher Identitätsdiebstähle, weil die technischen und organisatorischen Rahmenbedingungen nicht stimmen. Da stellen sich Unternehmen schnell die Frage: Kann ich mich von einer Schuld freizeichnen und auf den Verbraucher abwälzen? Unsere Gesetze verneinen das ganz klar, weil demnach seitens der Unternehmen technisch und organisatorisch alles getan werden muss, damit so etwas nicht geschieht. Und ich finde das auch richtig so. Der einzelne Verbraucher kann die möglichen Risiken doch gar nicht abschätzen, die entstehen, wenn sein Anbieter es schleifen lässt.
Die EU-Reform könnte etwas ändern
CW: Herr Reiners, wie können die Rahmenbedingungen konkret aussehen?
REINERS: Man muss dem Verbraucher die Möglichkeit geben, souverän zu werden. Der Datenschutz ganz allgemein neigt aber dazu, den Verbraucher als unmündig darzustellen. Wir werden aus Brüssel möglicherweise durch die neue EU-Datenschutzgrundverordnung die Aufgabe bekommen, den Verbraucher als mündig anzusehen - etwas, das wir in Deutschland lange nicht getan haben. Wir haben stattdessen geglaubt, dass der Staat den Verbraucher beschützen muss.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Wenn der Verbraucher nun aber tatsächlich mündig ist und zum Souverän wird und die geplante EU-Reform kommt, sehe ich, dass der Verbraucher - innerhalb der von Herrn Petri aufgezeigten bundesverfassungsgerichtlichen Grenzen - das Recht hat, eigene Entscheidungen zu treffen. Ich gehe auch davon aus, dass es bestimmte Grundmuster braucht, um Schutz da zu gewährleisten, wo Schutz notwendig ist. Dennoch stelle ich derzeit fest, dass wir "überschützt" sind und wünsche mir etwas mehr Souveränität. Die Frage ist doch: Hat beispielsweise mein Profil in einem sozialen Netzwerk einen Wert oder nicht? Wenn ja, möchte ich als Individuum darüber bestimmen, ob mein Profil dort vorgehalten werden soll oder nicht.
Foto: PRW Consulting GmbH
Oder noch einmal zurück zum Auto: Wenn ich als Handelsvertreter ein Fahrzeug drei Jahre lang lease und dann zurückgebe, weiß dieses Fahrzeug alles über mich. Selbstverständlich haben diese Daten dann einen Wert. Wer partizipiert an diesem Wert? Heute jedenfalls nicht der, der mühevoll über drei Jahren gesammelt hat. Natürlich kann man dann diskutieren, wem die Daten gehören - ob dem Handelsvertreter oder dem Unternehmen, für das er arbeitet. Fakt ist jedoch, dass wir hier einen Wert haben, der nicht dem zufließt, der ihn geschaffen hat.
Ein weiteres Beispiel, auch schon genannt: Smart Home. Die Energieversorger bekommen von uns Informationen über unseren Energieverbrauch - zum Zweck der Abrechnung. Ist dieser Zweck erfüllt, scheint die Sache für uns als Verbraucher erledigt. Aber natürlich brauchen die Energieversorger genauso wie die Ministerien Planungsdaten, um Energiepolitik machen zu können.
Ich stelle mir die Situation wie folgt vor: Der Energieversorger rechnet meinen Verbrauch ab und gibt mir dann noch die Option, meine Verbraucher durchzumessen und mir Empfehlungen zur Optimierung zu geben. Mir also beispielsweise mitteilt, wenn mein Kühlschrank ein Energieverschwender ist und mir drei neue Modelle anbietet, die sparsamer sind - samt Installations- und Anschlussservice. Dazu gibt er mir die Amortisationskurve, die aufzeigt, ab wann sich eine Neuanschaffung rechnet.
Mehr "Opt-in" als bisher?
Wenn das alles technisch möglich ist, bin ich dafür, dem Individuum diese Möglichkeit einzuräumen - in Form eines "Opt-in"-Verfahrens für diejenigen, die es nutzen möchten. Denn natürlich gibt es datenschutzrechtliche Fragen, gerade wenn es sich um einen Ein-Personen-Haushalt handelt. Wenn der Verbraucher sich für diesen Service entscheidet, sehe ich die Rolle des Datenschutzes hier in einer erweiterten Form vorliegen. Wenn wir dahin kommen, dass Daten als Wert anerkannt werden, steigt die Rolle des Datenschützers nicht nur auf ethischer Ebene, die Herr Petri bereits erwähnte, sondern auch auf kommerzieller Ebene. Der Datenschützer hat im Sinne des Individuums darauf zu achten, dass diese Werte dem Individuum bereitgestellt werden.
CW: Welchen Wert haben Daten, die sowieso anfallen, Herr Petri?
PETRI: Der Gedanke, den Datenschützer mit der Datensouveränität verbinden, ist der, dass nur dann personenbezogene Daten anfallen, wenn es notwendig ist. Ansonsten strebt man möglichst früh eine Anonymisierung an, oder zumindest eine Pseudonymisierung. Ein Energieversorger würde demnach die von ihm erhobenen Daten in aggregierter Form durchaus verwenden können, um seine Dienste erbringen zu können - also planen zu können, wieviel Energie wo benötigt wird. Beispielsweise die Information, wieviel Strom um diese Uhrzeit in diesem Wohn- oder Geschäftsviertel verbraucht wird - die ist auch mit pseudonymisierten und aggregierten Daten zu bekommen. Dafür muss ich nicht den einzelnen Verbraucher ausforschen.
Was die Frage nach dem Wert von Daten angeht: Es kommt darauf an, wie Sie den Begriff Wert definieren. Herr Reiners hat den ökonomischen Wert angesprochen, den Daten zweifelsohne besitzen und der sich bestimmt auch kommerzialisieren lässt. Immer dann, wenn Sie konkret über bestimmte Bedarfe Bescheid wissen, können sie als Anbieter mit gezielter Werbung ganz anders punkten als wenn sie ihre Marketingmaßnahmen streuen.
Zweckbindung als zentrales Prinzip
Es gibt aber noch andere Bereiche, die die Datenschützer im Blick haben müssen. Stichwort Zweckbindung als zentrales Prinzip - Daten dürfen nur zu dem Zweck verwendet werden, zu dem sie erhoben wurden. Alles andere bedarf einer gesonderten Legitimationsgrundlage.
Ich frage mich, ob qua Gesetz das, was Herr Reiners vorschlägt, nicht sowieso schon geht. Ich könnte mir durchaus vorstellen, dass das bereits möglich ist und dass das die Aufsichtsbehörden auch billigen würden. Das ist keine Frage. Die Frage ist vielmehr, ob es denn wünschenswert ist, dass man das Ganze zum marktbeherrschenden Prinzip erhebt. Oder ob wir nicht bestimmte Sicherungen einziehen müssen - gerade, wenn sehr intensive Datenerhebungen betrieben werden.
Ein gutes Beispiel ist das Auto - die Frage ist, ob die gesammelten Fahrzeugdaten später nicht ganz woanders aufschlagen, als der Verbraucher oder vielleicht auch das Unternehmen es erwartet. Möglich, dass Sicherheitsbehörden darauf zugreifen möchten oder auch Versicherungen, um die Bonität einer Person zu prüfen, bevor eine KfZ-Versicherung abgeschlossen werden kann. Und plötzlich ist der Verbraucher in der Situation, dass er nicht mehr in der Lage ist, vernünftig das Für und Wider einer Datenerhebung abzuwägen. Vom Grundgedanken her ist eine Datenökonomie sehr attraktiv, die Frage ist jedoch, ob es bei einer fairen Verhandlung zwischen den Parteien bleiben wird.
Zu den Personen
Foto: Symantec
Thomas Petri war nach dem Studium der Rechtswissenschaften zunächst Rechtsanwalt in einer Wirtschaftskanzlei, anschließend wissenschaftlicher Mitarbeiter an der Johann Wolfgang Goethe-Universität Frankfurt. Seine Forschungsschwerpunkte lagen im Verfassungsrecht, im Polizeirecht und in der Rechtsphilosophie. Nach seiner Promotion wechselte er im Sommer 2000 zum Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein. Dort war er als Referatsleiter für die Aufsicht der Privatwirtschaft verantwortlich. Nach vier Jahren wurde er zum Bundesverfassungsgericht abgeordnet und war dort bis 30. Juni 2006 als wissenschaftlicher Mitarbeiter im Ersten Senat tätig. Am 1. Juli 2006 übernahm er beim Berliner Beauftragten für Datenschutz und Informationsfreiheit die Leitung des Bereichs Recht; zugleich war er Stellvertreter des Beauftragten in diesem Bereich. Seit 1. Juli 2009 ist er Bayerischer Landesbeauftragter für den Datenschutz. (Quelle: www.datenschutz-bayern.de)
Foto: PRW Consulting GmbH
Wilfried Reiners studierte Rechts- und Wirtschaftswissenschaften in München und San Diego. Nach einer mehrjährigen Tätigkeit für eine internationale Unternehmensberatung gründete er 1989 seine eigene Kanzlei mit dem Beratungsschwerpunkt Recht in der IT. Seit 1998 ist er Lehrbeauftragter an der Europäischen Privathochschule MUNICH BUSINESS SCHOOL für die Fächer International Economic Netlaw / E-Commerce und Compliance. Daneben sitzt er im Vorstand der Association for Personal Data Economy (APDE) e.V.. (Quelle: www.prw.de)