Datenschützer Peter Schaar: „Wir müssen wachsam sein“

Foto: C-PROMO.de. Photocase

Mit Sorge verfolgt der Bundesdatenschutzbeauftragte Peter Schaar den Trend, Nutzerdaten zu aggregieren, zu analysieren und kommerziell zu verwerten. Schaar warnt vor beschönigenden Nutzungsbedingungen und fordert, Daten europäischer Bürger auch außerhalb der EU schützen.

Was waren für Sie 2012 die wichtigsten Themen beim Thema Datenschutz im Internet?

Peter Schaar: Es gab eine ganze Reihe von Vorfällen, die ich unter dem Stichwort Profilbildung zusammenfassen würde. Der Trend, Nutzerdaten zu aggregieren und zu vielfältigen Zwecken zu analysieren, wird sich im kommenden Jahr fortsetzen. Da bin ich mir sehr sicher.

Haben Sie Beispiele?

Nicht nur Google und Facebook sind bei der Frage der Profildung im Visier der Daten- und Verbraucherschützer. Inakzeptabel war zum Beispiel der Fall des sozialen Netzwerks Couchsurfing. Die Übernachtungsplattform startete zunächst als nicht-kommerzielles Projekt und hat sich nun Geschäftsbedingungen gegeben, die nach deutschem und europäischem Datenschutzrecht unzulässig sind. Die Nutzerinnen und Nutzer werden durch die neuen Geschäftsbedingungen genötigt, auf jegliche Kontrolle über ihre Daten zu verzichten, sofern sie den Dienst weiter in Anspruch nehmen wollen.
Ein weiterer Fall war die Schufa, die Auskunft zur Kreditwürdigkeit der Verbraucher gibt. Die Schufa plante, zur Bonitätsbewertung auch Daten aus sozialen Netzwerken hinzuzuziehen. Erst nach breiter öffentlicher Kritik zog die Schufa das Projekt zurück. Dann hatten wir die Diskussion darüber, ob die spanische Telefongesellschaft Telefonica die Bewegungsdaten ihrer Kunden auch kommerziell nutzen und an Dritte verkaufen kann. Sie ist nun davon abgerückt. Die Fälle zeigen, wir müssen wachsam sein.

Nun könnte der Nutzer kostenlose Dienste gewissermaßen mit seinen Daten bezahlen. Wo liegen die Grenzen?

Der Diensteanbieter muss transparent machen, was mit den personenbezogenen Daten passiert. Zudem muss er dies in einer nutzerfreundlichen, alsoverständlichen Form tun. Nur dann kann von einer echten Einwilligung des Nutzers gesprochen werden. In der Praxis sehe ich häufig unzureichende Beispiele: Da wird die Datennutzung mit beschönigenden und verschleiernden Begriffen beschrieben, nach dem Motto „Sie willigen ein, dass Daten zur Nutzung der Optimierung des Dienstes verwendet werden“. Hier weiß der Nutzer weder, welche Daten erhoben, noch für welche konkreten Zwecke sie verwendet werden sollen.

Lobby-Einflüsterungen nicht nachgeben

Über mein Profil im sozialen Netzwerk oder mein E-Konto kann mein Leben transparent gemacht werden. Welche Profildaten dürfen die Anbieter verkaufen?

Gar keine, jedenfalls soweit keine ausdrückliche Einwilligung der Nutzer vorliegt. Auch die Geschäftsmodelle von Google und Facebook basieren im Übrigen nicht auf dem Verkauf von Nutzerdaten. Vielmehr schalten sie auf Grundlage der Nutzerpräferenzen Werbeanzeigen, behalten das personifizierte Profil aber für sich. Aber auch für derartige Profilbildungen brauchen wir klare gesetzliche Grenzen. Insgesamt müssen die Rechte der Nutzerinnen und Nutzer gestärkt werden.

Wie?

Sicherlich mit der EU-Datenschutzverordnung, deren Entwurf die EU-Kommission im Januar vorgelegt hat. Ein europaweit auf hohem Niveau harmonisiertes Datenschutzrecht ist die richtige Antwort auf die grenzüberschreitenden Internetdienste. Besonders wichtig ist hierbei, dass europäisches Datenschutzrecht künftig gilt, sobald sich ein Unternehmen an Nutzerinnen und Nutzer in Europa wendet. Da muss die Kommission hart bleiben und sich nicht von massiven Lobby-Einflüsterungen der großen Internetkonzerne beeindrucken lassen.

Warum ist dieses neue Prinzip im Umgang mit Drittländern wichtig?

Die Lage ist heute kompliziert. Das sogenannte Cloud Computing, zu dem auch die sozialen Netzwerke und E-Maildienste gehören, ist völlig ortsungebunden. Der Nutzer kann nicht sicher sein, in welchem Land der Erde die Daten verarbeitet werden. Die nationalen Rechtsordnungen unterscheiden sich. Private Anbieter und öffentliche Stellen unterliegen folglich unterschiedlichen rechtlichen Vorgaben und realen Gepflogenheiten. Im Fall Facebook gelten zum Beispiel zwei Rechtsordnungen. Die irische, weil Facebook in Europa von Irland aus operiert, und die US-amerikanische, weil dort die Daten lagern. Das führt zu massiven Konflikten und Unklarheiten. Künftig muss es so sein, dass für den EU-Nutzer in jedem Fall auch der EU-Datenschutz gilt. Sonst bleiben beim Nutzer berechtigte Ängste, dass mit seinen Daten nicht sorgsam genug umgegangen wird.

Nutzung ist kein Freibrief für Unternehmen

Im Zusammenhang mit der EU-Datenschutzverordnung wird auch das sogenannte „Recht auf Vergessenwerden“ kontrovers diskutiert. Kann es ein solches Recht tatsächlich geben oder muss sich der Einzelne damit abfinden, dass er nicht unbedingt kontrollieren kann, was von ihm und über ihn im Netz bleibt?

In der Diskussion ging vieles durcheinander. Die Formulierungen der EU-Kommission waren hier möglicherweise missverständlich. Tatsächlich strebt die EU-Kommission nur einen begrenzten Löschungsanspruch an, der im Grunde heute schon gilt. Daten, die unzulässigerweise gesammelt oder nicht mehr gebraucht werden, sind zu löschen. Unternehmen, die Daten an Dritte weitergegeben haben, müssen sich auch um die Löschung bei den Empfängern bemühen, wenn der Betroffene das wünscht.
Das sind alles richtige Forderungen, die Kritik daran verstehe ich nicht. Es geht nicht darum, dass der Einzelne alles aus dem Netz löschen kann, was er selbst dort hinterlassen hat oder über ihn verbreitet wird. Das wäre auch kaum möglich. Aber von Unternehmen wie sozialen Netzwerken, die von den Daten profitieren, kann der Nutzer eine Löschung erwarten, wenn er das will. Die Entscheidung, einen Dienst zu nutzen, kann doch vom Diensteanbieter nicht als Freibrief verstanden werden, die Nutzerdaten für immer zu behalten und unbegrenzt zu verwenden.

Peter Schaar
Folgen

Peter Schaar

Peter Schaar ist Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und war von 2003 bis 2013 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit.

Foto: Alexander Klink / Wikimedia CC BY
Peter Schaar
Folgen