Goldstaub

7.6.2019 | Von:
Dirk Heckmann

Datenverwertung und Datenethik

Auf dem Weg zum Datenrecht

Als die DSGVO vor etwas über einem Jahr Geltung erlangte, war die Aufregung groß: Vom Bürokratiemonster war die Rede, von Rechtsunsicherheit und Überforderung, besonders bei Vereinen und kleinen Unternehmen. Tatsächlich hatten es die verantwortlichen staatlichen Stellen, allen voran die Datenschutzaufsichtsbehörden, zunächst versäumt, frühzeitig aufzuklären, praktische Tipps zur Umsetzung der DSGVO zu geben und Ängste zu nehmen. Als dies dann im Sommer 2018 nachgeholt wurde, hatte das im Ansatz großartige europäische Regelwerk bereits ein schlechtes Image, das es bis heute nicht losgeworden ist. Der gebetsmühlenartig vorgebrachte Hinweis, eigentlich ändere sich kaum etwas an der bisherigen Rechtslage, nutzt in Zeiten verunklarender Panik in den sozialen Netzwerken eher wenig. Dass nunmehr von Beratung statt Strafen bei Erstverstößen die Rede ist, beruhigt nur wenig, weil sich die Verunsicherung mittlerweile verfestigt hat.

Dabei ist das in der DSGVO normierte, aus der bislang geltenden Datenschutzrichtlinie entwickelte Datenschutzrecht so konzipiert, dass es dem Anliegen einer informationellen Selbstbestimmung der Betroffenen Rechnung trägt, die Verantwortlichen in die Pflicht nimmt, Datenverarbeitung transparent zu machen, und die aufsichtsbehördlichen Instrumente stärkt. So verhängte die polnische Datenschutzbehörde mittlerweile ein Bußgeld von über 200.000 Euro an eine Wirtschaftsauskunftei, ein Krankenhaus in Portugal musste 400.000 Euro zahlen, und in Frankreich wurde Google mit dem bislang höchsten Bußgeld in Höhe von 50 Millionen Euro belegt.

Dass der Schutz personenbezogener Daten und der Privatsphäre dennoch nach wie vor lückenhaft ist, hat andere Gründe: Zum einen gehen viele Betroffene selbst sowohl mit ihren Daten als auch mit ihren IT-Systemen sorglos um; zum anderen ist juristisch noch nicht geklärt, ob die massenhafte Erstellung von Nutzerprofilen mit eher rudimentärer Information für die Betroffenen als Teil redlicher Geschäftsmodelle ("Daten als Gegenleistung") rechtmäßig oder gerade wegen der tendenziellen Intransparenz im Hinblick auf die dahinter stehenden Geschäftsinteressen unzulässig ist. Wie präzise und nachprüfbar müssen die Informationen sein, die ein Unternehmen in Bezug auf die hinter dem Geschäftsmodell verborgenen Modi und Zwecke der Datenverarbeitung den Nutzern mitzuteilen hat?

Genau an dieser Stelle schweigt das geltende Datenschutzrecht. Die in der DSGVO verankerten Prinzipien der Zweckbindung und Transparenz laufen ins Leere, soweit ein Unternehmen mit seinem datengetriebenen Geschäftsmodell vordergründig Zwecke wie Werbung und "Verbesserung des Nutzererlebnisses" angeben kann und nicht zuletzt auch deswegen kaum sanktioniert wird, weil die Nutzer gerade ein solches Geschäftsgebaren fordern oder zumindest hinnehmen. So mag es im Detail kleinere Reformen und Anpassungen des Datenschutzrechts geben. Was – gleichsam als "großer Wurf" – fehlt, ist die Regulierung eines Datenrechts, das sich nicht auf einen mehr oder weniger wirksamen Datenschutz kapriziert, sondern die gesamte Wertschöpfungskette entlang der Datenerfassung und Datennutzung interessengerecht in den Blick nimmt. Auch und gerade das Datenschutzrecht steht einem maßvoll regulierten Datenverwertungsrecht nicht entgegen. In diese Richtung geht auch die Arbeit der Datenethikkommission der Bundesregierung, die bis Oktober 2019 Eckpunkte für ein ethisch verantwortbares Datenrecht entwickelt.

Zumindest in der Theorie wirkt das geltende Datenschutzrecht der DSGVO konsistent. Was allerdings noch aussteht, ist ein Datenrecht, das auch nicht personenbezogene Daten einbezieht. Ein solches Datenrecht würde Phänomene wie Big-Data-Analysen, Cloud-Computing, die Informationsverarbeitung über die Blockchain und vieles andere mehr realistisch einbinden, ohne die notwendige politische Auseinandersetzung um sinnvolle Datennutzung zu unterbinden. Man muss freilich auch konstatieren, dass die Gestaltungsmöglichkeiten des Gesetzgebers im Daten(schutz)recht begrenzt sind, weil Regulierung im Internet auch vor dem Hintergrund internationaler Verflechtungen und autonomer Steuerung der Akteure wenig Durchschlagskraft hat.

Um dies an einem Beispiel zu illustrieren: Sehr viele Services werden heute cloud-basiert angeboten, entsprechende Inhalte auf verteilten Servern bereitgehalten, wo sie die Nutzer orts- und zeitunabhängig abrufen können. Zu den größten Anbietern gehören US-amerikanische IT-Dienstleister, deren Angebote oft wirtschaftlich attraktiv und kundenorientiert sind, sodass sowohl private als auch geschäftliche und gar behördliche Nutzer gerne darauf zugreifen. Weil in den USA aber schon aufgrund vielfältiger Zugriffsmöglichkeiten der Geheimdienste und Sicherheitsbehörden kein dem europäischen Recht vergleichbares Datenschutzniveau herrscht, wird die Nutzung entsprechender Cloud-Services von den Datenschutzbehörden sehr kritisch gesehen. Ein Verbot der Nutzung eines solchen vermeintlich unsicheren Dienstes wird gleichwohl kaum vorgeschlagen, weil es zumindest aus Sicht der Mehrheit der Nutzer keine brauchbare Alternative gibt. Lösungen wie der sogenannte EU-US Privacy Shield (in Ablösung des Safe-Harbor-Abkommens, das der Europäische Gerichtshof 2015 für ungültig erklärt hat) sind zweifelhaft, das Dilemma der unterschiedlichen Rechtskulturen zwischen den USA und der EU im Hinblick auf den Datenschutz bleibt.[7]

Und dies ist durchaus symptomatisch für die Internetnutzung. Bestimmte Verhaltensweisen (wie die Nutzung von Cloud-Services, das Tauschen von Inhalten in sozialen Netzwerken oder die Selbstvermessung über Fitnesstracker) beruhen auf reinen Nützlichkeits- und Bequemlichkeitserwägungen, bei denen das Datenschutzrecht, das Urheberrecht oder der Schutz der Privatsphäre kaum einen Platz finden. Diesen Umstand machen sich viele Anbieter zunutze. Die Menschen nutzen diese Technologien, weil sie nützlich, preiswert, attraktiv und besonders einfach (im Sinne von "plug and play") gestaltet sind. Die Hersteller forcieren die Verbreitung durch ihre Geschäftsmodelle. Dieses System setzt eine erhebliche, permanente und oft unmerkliche Erhebung, Verarbeitung und Übermittlung personenbezogener Daten voraus: Nur so können nämlich der günstige Preis ("Daten als Währung"), der hohe Nutzen ("Mehrwert durch Datenverknüpfung") und damit die starke Verbreitung durch Netzwerkbildung ("kritische Masse") gewährleistet werden. Es lässt sich hier durchaus von einer "Plug-and-play-Falle" sprechen, weil diesem System ein hoher Verführungsgrad innewohnt, der sich auf die Einwilligungsfähigkeit zur Datenverarbeitung auswirkt. Die Datenverknüpfung ist – zum Teil technisch, zum Teil auch durch das Geschäftsmodell bedingt – unmerklich, eine kritische Distanz der Nutzer hierzu weder erwünscht noch praktisch umsetzbar.[8]

Hier gilt es letztlich anzusetzen: Ein wirksamer Datenschutz setzt ein Datenschutzbewusstsein und damit ein hohes, auf ausreichender Sachkenntnis beruhendes Verständnis von Datenverarbeitung voraus. Diese "Digitalkompetenz" gilt es schon früh in den Schulen und dann über (betriebliche) Fortbildung bis ins hohe Alter zu vermitteln. In der Diskussion um "digitale Bildung" ist dies ein wichtiger Punkt.

Datenethik

Nicht zuletzt mit Blick auf die skizzierten Steuerungsdefizite wird über die Frage rechtlicher Regulierbarkeit hinaus auch diskutiert, ob Geschäftsmodelle, die einen schleichenden Verlust an Privatheit zur Folge haben können, überhaupt ethisch verantwortbar sind: Wie redlich ist es, unzählige Internetnutzer in die "Plug-and-play-Falle" tappen zu lassen?

Die Ethikkommission für automatisiertes und vernetztes Fahren hat hierzu in ihrem Abschlussbericht eine Regel formuliert: "Erlaubte Geschäftsmodelle, die sich die durch automatisiertes und vernetztes Fahren entstehenden, für die Fahrzeugsteuerung erheblichen oder unerheblichen Daten zunutze machen, finden ihre Grenze in der Autonomie und Datenhoheit der Verkehrsteilnehmer. Fahrzeughalter oder Fahrzeugnutzer entscheiden grundsätzlich über Weitergabe und Verwendung ihrer anfallenden Fahrzeugdaten. Die Freiwilligkeit solcher Datenpreisgabe setzt das Bestehen ernsthafter Alternativen und Praktikabilität voraus. Einer normativen Kraft des Faktischen, wie sie etwa beim Datenzugriff durch die Betreiber von Suchmaschinen oder sozialen Netzwerken vorherrscht, sollte frühzeitig entgegengewirkt werden."[9]

Hier wird deutlich, dass sich die Möglichkeit einer Verwertung personenbezogener Daten (hier: Fahrverhaltensdaten, Standortdaten etc.) nicht alleine nach dem Datenschutzrecht richtet, dass es also nicht genügt, eine Einwilligung einzuholen. Vielmehr ist das jeweilige Geschäftsmodell zu hinterfragen. Suchmaschinen und soziale Netzwerke entfalten insofern eine normative Kraft des Faktischen, weil sie eine große Verführungskraft zur Inanspruchnahme des Dienstes entfalten und alsdann eine faktische Abhängigkeit der Nutzer herbeiführen. Zunächst werden kostenfrei attraktive Services zur Verfügung gestellt, die von einer großen Anzahl von Personen weltweit genutzt werden, die letztlich nicht mehr auf diese Nutzung verzichten wollen. Dass diese Leistungen mit den eigenen Daten "bezahlt" werden, erscheint wiederum unkritisch, weil die Verwertung der Daten zumeist mit dem werbefinanzierten "Privatfernsehen" verglichen wird.

Dass allerdings die Erzeugung und vielfältige Verwertung von Nutzerprofilen tiefe Einblicke in das Privatleben und die Persönlichkeit gewährt und über die Ermittlung von Nutzerpräferenzen zu Werbezwecken weit hinausgeht, machen sich viele nicht bewusst. Und so erreicht diese flächendeckende Auswertung von Persönlichkeitsmerkmalen eine ethische Dimension. Scheint diese Form der "Selbstausbeutung" bei der Nutzung von Google und Facebook kaum mehr reversibel, soll etwa beim autonomen Fahren verhindert werden, dass die Betroffenen die Hoheit über die vielfältig damit verbundenen Daten aus der Hand geben. Diese Frage ist zukunftweisend: Was beim autonomen Fahren schon vielfältig, aber noch einigermaßen überschaubar ist, verliert im Internet der Dinge vollends alle Konturen. Wenn künftig alles mit allem verknüpfbar ist, sind unbegrenzte Möglichkeiten denkbar, (vermeintlich) nützliche Geräte, Anwendungen und Dienste anzubieten, die "das Nutzererlebnis verbessern". Es kostet nur die Privatheit.[10]

Fußnoten

7.
Vgl. ebd., Rn. 702ff.
8.
Zur Plug-and-play-Falle vgl. Dirk Heckmann, Persönlichkeitsschutz im Internet, in: Neue Juristische Wochenschrift 36/2012, S. 2631–2635.
9.
Ethikkommission automatisiertes und vernetztes Fahren (Anm. 1), S. 12.
10.
Zu möglichen Schutzkonzepten vgl. Dirk Heckmann, Smart Life – Smart Privacy Management, in: Kommunikation und Recht 1/2011, S. 1–6.
Creative Commons License

Dieser Text ist unter der Creative Commons Lizenz "CC BY-NC-ND 3.0 DE - Namensnennung - Nicht-kommerziell - Keine Bearbeitung 3.0 Deutschland" veröffentlicht. Autor/-in: Dirk Heckmann für Aus Politik und Zeitgeschichte/bpb.de

Sie dürfen den Text unter Nennung der Lizenz CC BY-NC-ND 3.0 DE und des/der Autors/-in teilen.
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.