Personenbezogene Daten als Vermögenswert

bei

 / 4. March. 2021

Ob zu kommerziellen Zwecken oder mit dem Ziel der staatlichen Überwachung: Firmen und Geheimdienste weltweit sind interessiert an den personenbezogenen Daten der Bürger, denn: Jede in Anspruch genommene Leistung wird auf die eine oder andere Weise bezahlt. Dieser Tatsache sollten sich insbesondere alle Nutzer des Internets oder von Smartphone-Apps bewusst sein. Wer digitale Dienste in Anspruch nimmt, für die nicht mit Geld bezahlt werden muss, kann davon ausgehen, dass er für die Nutzung stattdessen mit den persönlichen Informationen zur Kasse gebeten wird.

Nutzerdaten sind äußerst begehrt

Die Folgen dieser digitalen Gratis- und Überwachungskultur reichen von unwillkommenen E-Mails im eigenen Postfach über personenbezogene Werbung auf zuvor unbesuchten Seiten oder in Online-Shops. Doch sogar jene, die einen öffentlich zugänglichen Beitrag in den sogenannten ‚sozialen Netzwerken‘ verfassen, solche kommentieren oder mit ‚einem Daumen nach oben versehen‘, sind sich häufig nicht darüber im Klaren, dass die eigene Meinungsbekundung vom jeweiligen Plattformbetreiber für maßgeschneiderte Werbe- und Beitragseinblendungen genutzt werden kann.

Jedoch können sogar vermeintlich harmlose Datenspuren zu einem beängstigend genauen Profil der eigenen Person anwachsen. So besteht häufiger die Möglichkeit, sich bei neuen Anbietern mit einem bestehenden Social-Media-Konto anzumelden oder eine Zahlung über einen bestehenden Onlinehändler abzuwickeln, statt ein neues Konto zu erstellen. Dass wir mit dieser scheinbaren Vereinfachung sukzessive bei einzelnen Anbietern und sozialen Netzwerken zum gläsernen Menschen werden, ist oftmals nebensächlich – der Einfachheit wegen.

Ein weiteres Beispiel für reale Konsequenzen eines allzu laxen Umgangs mit persönlichen Daten ist folgendes Szenario: Durch die Nutzung einer günstigen Smartwatch von zweifelhafter Herkunft setzt sich der Käufer dem potentiellen Risiko aus, dass die gesammelten Gesundheits- und biometrischen Daten an interessierte Krankenkassen oder Versicherungen in der ganzen Welt verkauft werden. Sollten sich daraus wiederum Rückschlüsse auf eine kostspielige Erkrankung ergeben oder eine ‚ungesunde Lebensweise‘ kann es in vielen Ländern bereits zur Tariferhöhung oder gar Abweisung des Versicherten führen.

Ein aufsehenerregender Zwischenfall wurde im September 2019 bekannt: Millionen Patientendaten waren im Internet frei einsehbar [1], darunter Tausende von deutschen Informationen. Sogar Röntgenbilder und MRT-Berichte sollen sichtbar gewesen sein. Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, warnte damals: „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und Ihnen keinen Vertrag oder keinen Kredit gibt.“

Maximaler Datenschutz sollte Pflicht sein

Tatsächlich sind aber die Vorzüge der Echtzeit-Kommunikation und der skalierbaren Datenverarbeitung sowie -speicherung nicht mehr wegzudenken. Ein Quantensprung gab dem nächsten die Klinke in die Hand, so schnell ist die Entwicklung vorangeschritten. Gleichzeitig aber wurden Wirtschaft und Soziales, also Öffentlichkeit und Privatheit, zunehmend verknüpft – oft ohne Wissen der Nutzer. Die Gesetzgebung in all ihrer Bürokratie und Beeinflussung hat es in diesem dynamischen und schnelllebigen Umfeld sichtlich schwer, Schritt zu halten und sich in ausreichendem Maße an die neuen Gegebenheiten anzupassen.

Mittlerweile hat die Europäische Union (EU) mit der Datenschutzgrundverordnung (DSGVO) eine Regulierung eingeführt, die seit zweieinhalb Jahren die elementaren Belange des Datenschutzes für den europäischen Markt abdeckt. Zwar begann die Verfolgung von Missständen aufgrund hoher Auslastung der Behörden zunächst langsam, ist jedoch is besonders seit dem Jahr 2020 [2] mit vermehrten Kontrollen und Bußgeldern zu rechnen. Es ist jedoch an der verbesserungswürdigen Ausarbeitung spürbar, dass die Gesetzgeber weiterhin Mühe haben, der rasanten technologischen Entwicklung zu folgen. Unter anderem blieb die Nutzerfreundlichkeit auf der Strecke – wie die unbefriedigende, bisherige Lösung zu Cookie-Einstellungen zeigt – oder es bleiben rechtliche Graubereiche aufgrund fehlender Rechtsprechung offen.

Ein Beispiel: Betreiber von Webseiten haben oftmals ein offensichtliches und finanzielles Interesse daran, möglichst viele Nutzerdaten zu speichern und werblich zu nutzen. Viele Seiten versteckten deshalb die Möglichkeiten, um sich aus Cookie-Sammlungen auszutragen, hinter einer Art von Spießrutenlauf durch Optionen, untergeordnete Seiten und externe Links. Teilweise muss eine große Zahl von Häkchen entfernt werden, was einer Opt-Out Lösung aus vergangenen Tagen entspricht. Mittlerweile verdeutlicht jedoch ein prominentes Cookie-Urteil des Bundesverfassungsgerichts [3] die Notwendigkeit, die Cookies ausschließlich mittels einfacher und transparenter Opt-Ins zu verwenden. Doch ist dies weiterhin nicht der Weisheit letzter Schluss, denn nach wie vor müssen Nutzer sich erst durch Cookie-Banner arbeiten, bevor sie eine Webseite sehen können – sehr lästig, wenn nur ein Text schnell gelesen werden will. Anstatt das Urteil zum Anlass zu nehmen, die eingesetzte Anzahl von Cookies und Trackern zu überdenken und auf ein Minimum zu beschränken, zielt das Kalkül der Seitenbetreiber natürlich darauf, dass der genervte Nutzer einfach auf die Option ‚Zustimmen‘ drückt, um seine Ruhe zu haben. Aus diesem Grund bleibt das hehre Ziel der Datenschützer oft in regulatorischer Haarspalterei und Praktikabilität stecken.

Eigentlich liegt die Lösung des Problems auf der Hand: Der maximal mögliche Datenschutz, also die Ablehnung solcher Sammelei, muss die Grundeinstellung sein – am besten direkt über den Browser.

Datenschutz als Qualitätsmerkmal

Gesetzestreue ist nicht optional und somit die niedrigste Hürde, die ein Anbieter nehmen kann und muss. Darüber hinaus existieren für viele Bereiche oftmals Qualitätssiegel. Diese versprechen dem Kunden einen Standard, der über die gesetzlichen Anforderungen hinausgeht. Ebenfalls zum Spektrum gehören Ethik und Moral, die gerne in Diskussionen außen vor gelassen werden, aber die wohl wichtigste Komponente für langfristiges Vertrauen der Menschen in das Unternehmen und Produkt sind. Daher gilt es, die Aktivitäten von Unternehmen mit strengem Blick hinsichtlich des Datenschutzes zu beobachten und über unabhängige Tests zum Datenschutz nachzudenken – inklusive Qualitätssiegel oder Zertifizierung.

Angesichts von Datenschutz-Vorfällen und wenig zufriedenstellender Gegenmaßnahmen, muss verhindert werden, dass sich eine Art Lethargie in den Köpfen der Internet-Nutzer ausbreitet. Die Gesellschaft darf sich nicht an solche enormen Verstöße gewöhnen, sie gar als Normalität – wenn auch zähneknirschend – hinnehmen. Zum Beispiel haben US-Behörden die Möglichkeit eines gesetzlichen Zugriffs auf elektronische Kommunikation auch außerhalb des US-Territoriums und von fremden Bürgern. In China dagegen hat das Sozialpunktesystem Einzug gehalten [4], dass viele Aktivitäten der Bürger überwacht und entsprechend Punkte einem Konto gutschreibt oder abzieht, woraus sich Konsequenzen für den Menschen im Alltag ergeben. Vielmehr müssen Unternehmen und Staaten – die ohnehin verpflichtet sind, ihre Bürger zu schützen – erkennen, dass der Schutz personenbezogener Daten ihnen ein wichtiges Gut gewinnt: das Vertrauen der Menschen. Aus diesem Grund sollten Firmen, die sich nachweislich dem kompromisslosen Datenschutz verschreiben, belohnt werden.

Auf der anderen Seite muss geltendes Recht gegen diejenigen, die sich nicht an die gesetzlichen Regeln halten, konsequent durchgesetzt werden. Qualitätssiegel und Zertifikate können zusätzlich die Entscheidung der Menschen vereinfachen, welchen Produkten und Unternehmen sie vertrauen, und die Bemühung der Unternehmen hervorheben – oder das Fehlen dergleichen offenlegen. Die Möglichkeit einer Datenschutz-Zertifizierung durch europäische Gesetzgeber sollte explizit innerhalb der DSGVO geregelt werden. Doch der offizielle Prozess zur Entwicklung eines Anforderungskatalogs und der notwendigen Akkreditierung ist lang und derzeit noch im Gange [5].

Die Überprüfung und Beratung wiederum kann von unabhängigen Experten übernommen werden. Bereits jetzt dürfen Unternehmen, die einen Datenschutzbeauftragen stellen müssen, einen extern arbeitenden Spezialisten benennen, was besonders den kleinen und mittleren Unternehmen (KMU) zugutekommt.

Insgesamt muss allen Beteiligten – ob Politiker, Datenschützer, Unternehmensleiter oder Nutzer – bewusst werden, dass personenbezogene Daten mittlerweile ein wertvolles Gut darstellen. Nicht ohne Grund sagte die Bundeskanzlerin, Angela Merkel, bereits am 12. September 2015 auf dem CDU-Mitgliederkongress CDUdigital [6] über die vielen Datensätze: „Das ist der Rohstoff der Zukunft.“ Fünf Jahre später legte Bundesdatenschützer Ulrich Kelber seinen jährlichen Tätigkeitsbericht zum Datenschutz für das abgelaufene Jahr 2019 [7] vor und hatte viel zu bemängeln – an den Gegebenheiten und an neuen Gesetzgebungen. Gleichzeitig hatte er aber auch konstruktive Vorschläge unterbreitet. Die Corona-Krise inklusive der Corona-Warn-App gab außerdem 2020 viel Anlass für Diskussionen [8] über den Datenschutz. Es gibt also weiterhin viel zu tun.

 

Quellen und Referenzen:

[1] https://www.zeit.de/digital/datenschutz/2019-09/datenleak-patienteninformationen-ingolstadt-kempen-passwort-datenschutz

[2] https://www.heise.de/ct/artikel/Die-DSGVO-wird-erst-2020-richtig-scharfgestellt-4657760.html

[3] https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html

[4] https://www.quarks.de/gesellschaft/wie-china-seine-buerger-mit-einem-punktesystem-kontrollieren-will/

[5] https://www.dakks.de/content/projekt-datenschutz

[6] https://www.youtube.com/watch?v=FHhy_dqtExg

[7] https://netzpolitik.org/2020/ulrich-kelber-fordert-ueberwachungsmoratorium/

[8] https://www.faz.net/aktuell/wirtschaft/die-corona-app-hat-zu-viel-datenschutz-doch-der-ist-noetig-16886030.html

 

Über den Autor / die Autorin:


Mareike Vogt ist seit 2018 Fachexpertin für Datenschutz des TÜV SÜD. Als extern benannte Datenschutzbeauftragte (DSB) berät sie Unternehmen in allen datenschutzrelevanten Themen, überwacht deren datenschutzrelevante Prozesse und unterstützt sie bei der Kommunikation mit Aufsichtsbehörden.