Spannungsfeld Datensammlung / Datenschutz

Spannungsfeld Datensammlung / Datenschutz

Schädliche Überregulierung oder notwendiger Persönlichkeitsschutz?

Die Einführung der EU Datenschutzgrundverordnung (DSGVO) hat einen Einfluss auf alle, die sich online bewegen. Der Umfang der DSGVO und die de facto Übernahme der EU Richtlinien durch Schweizer Unternehmen hat für einige Diskussionen gesorgt. Hemmt die Verordnung die Entwicklung neuer, datenbasierter Technologien? Oder handelt es sich dabei um einen wichtigen Schutz der Persönlichkeitsrechte? Datenexperten Reinhard Riedl und André Golliez nehmen im Interview Stellung zu diesen Fragen.

Datensammlung als Ökosystem

Daten sind die Ressourcen des 21. Jahrhunderts. Die Gewinnung dieser Ressource erfolgt jedoch nicht in einem Vakuum. Die Datensammlung ist eher ein riesiges Ökosystem, von dem wir alle als Internetanwender und -anwenderinnen ein Teil sind. Jede unserer Nutzungen wird aufgezeichnet, gespeichert und ausgewertet. Die grössten singulären Akteure in diesem System sind die riesigen, datensammelnden Tech-Unternehmen und die Gesetzgeber.

Wie die Teile dieses Ökosystem miteinander interagieren, konnte im Frühling 2018 beobachtet werden, als Unternehmen unsere E-Mail-Postfächer mit Hinweisen zu ihren aktualisierten AGBs förmlich überfluteten. Auslöser hierzu war die Umsetzung der neuen EU-Datenschutzgrundverordnung (DSGVO). Zwar handelt es sich hierbei um eine EU-Verordnung, dennoch hat sie extraterritoriale Wirkung, denn auch Unternehmen aus Nicht-Mitgliedsstaaten sind unter gewissen Umständen zur Umsetzung verpflichtet. Vermutlich der wichtigste Aspekt für Schweizer Unternehmen ist die Umsetzungspflicht, wenn Waren oder Dienstleistung EU-Bürgern und EU-Bürgerinnen angeboten werden (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, 2018).

Wer nun im Netz .ch-Domains besucht, wird feststellen, dass viele Unternehmen die DSGVO Regeln übernommen haben. Diese de facto Übernahme liess einige kritische Stimmen laut werden. In einem Kommentar für die NZZ meinte Giorgio V. Müller (2018), dass die Verordnung die Bürokratie für Unternehmen unnötig erhöhe, und dass die Datenmobilität stark eingeschränkt würde.

Ein wichtiger Bestandteil des Ökosystems hat sich allerdings noch nicht lautstark zu Wort gemeldet: Die User und Userinnen. Dabei sind es gerade sie, die im Mittelpunkt der Datensammlung stehen.

Userwilligkeit zur Teilnahme am Ökosystem

Bei der Erhebung und Nutzung personenbezogener Daten kann festgestellt werden, dass die Datenschutzbelange bei verschiedenen Gruppen nicht gleich verteilt sind. Datenschutzbedenken variieren offensichtlich je nach Alter, Einkommen und Geschlecht. So sind sich jüngere User und Userinnen der Datenerhebungspraktiken stärker bewusst, während jüngere Verbraucher und Verbraucherinnen eher in einer “will pay for your information”-Gesellschaft aufgewachsen sind. Ältere Verbraucher scheinen hingegen eher besorgt über den finanziellen Datenschutz (Graef & Harmon, 2002).

Die Verbraucher glauben im Allgemeinen nicht, dass sich Marketingspezialisten und -spezialistinnen mit Fragen des Verbraucherschutzes befassen und haben eine negative Wahrnehmung von jenen, die versuchen, zu viele personenbezogene Daten zu erfassen. Doch obwohl die Verbraucher und Verbraucherinnen das Gefühl haben, dass einige Vermarkter bereits zu viel über sie wissen, sind sich die Verbraucher einig, dass ihr Angebot und Werbebotschaften umso nützlicher werden, je mehr Vermarkter über sie wissen (Graef & Harmon, 2002).

Tatsächlich halten es viele Verbraucher zumindest teilweise für akzeptabel, dass Unternehmen das Kaufverhalten der Verbraucher nutzen, um sie für Angebote anzusprechen. In Studien zu Internetnutzung haben jüngere Befragte (13-25 Jahre) sogar eine positive Einstellung zur Sammlung von Informationen für Marketingzwecke geäußert, wenn sie die Wahl hatten und ihren Verlust der Privatsphäre kompensierten. Kinder im Alter von 10-17 Jahren waren durchaus bereit, Informationen an Websites weiterzugeben (obwohl 46 Prozent der befragten Eltern nicht wussten, dass ihre Kinder Informationen online weitergaben) (Graef & Harmon, 2002).

Datenmissbrauchsfälle und ihre Effekte in der Gesellschaft

Nutzer nehmen bis anhin willentlich an diesem Ökosystem teil. Doch diese Haltung kann sich mit Aufkommen von weitläufigen Datenmissbrauchsfällen ändern. Datenexperte Reinhard Riedl vom Institut Digital Society der Berner Fachhochschule sieht noch keinen Anhaltspunkt für ein anstehendes Umdenken bei Konsumenten in der Schweiz. Gemäss Riedl gab es hierzulande bis anhin noch keine wirklich schwerwiegenden Datenmissbrauchsfälle. Es gäbe zwar Hinweise darauf, dass viele personalisierte Daten, wie zum Beispiel Kreditkartendaten, im Darknet erhältlich seien. Bislang würden die meisten persönlichen Daten aber nur indirekt für Werbezwecke oder Optimierungen gebraucht.

André Golliez, Co-Gründer und Präsident des Vereins Opendata.ch, ergänzt, dass man Datenmissbrauchsfälle, wie zum Beispiel bei Facebook mit dem Cambridge-Analytica-Skandal, differenziert betrachten sollte. Denn gerade in diesem Beispiel würde klar von Datenmissbrauch gesprochen. Das Geschäftsmodell von Facebook bestünde jedoch genau in eben dieser Nutzung von personenbezogenen Daten. Angeblich zwar “nur” für die Werbeoptimierung und nicht für andere illegale Zwecke, dies wiederum erschien jedoch für viele Betroffene irreführend. Man müsse hier fragen, wer den Zugang und die damit verbundene Nutzung dieser Daten kontrolliert. Genau das würde in diesem speziellen Fall nicht verstanden. Das zeige, dass man mit solchen Missbrauchsfällen vorsichtig umgehen müsse.

Des Weiteren gäbe es auch sehr spezielle Formen des Missbrauchs, so würden in den USA zum Beispiel Datendossiers von Personen als Handelsgüter verwendet. Beispielsweise diene der Kauf von Studentendossiers durch kommerzielle Universitäten dazu, sogenannte Versager-Studenten ausfindig zu machen um diese dann gezielt anwerben zu können. Das heisst, die Universitäten suchen mit Hilfe der Dossiers Studenten, die in einem sozial schwachen Umfeld aufgewachsen sind oder sonstige bekannte Probleme im Leben hatten und für ihre Werbung besonders empfänglich sind.

Solche Missbrauchsfälle können natürlich verschiedene Effekt in der Gesellschaft hervorrufen. Nach Riedl führe Big Data zur erhöhten Personalisierung der Daten. Diese Personalisierung könne wiederum zu mehr Diskriminierung führen. Tendenziell könnten so Unterschiede in der Gesellschaft grösser werden, wodurch die Folgen solcher Unterschiede ebenfalls verstärkt würden.

Durch die extensive Datennutzung würden wir Anwender und Anwenderinnen in die Pflicht genommen, sehr viel mehr Prozesse im Leben regeln und regulieren zu müssen. Es zeige sich, dass viele bisher automatisch funktionierende Abläufe neu hinterfragt werden müssten. Allen voran etwa jene, die plötzlich durch den Gebrauch von personalisierten Daten sichtbar würden, zum Beispiel das Solidaritätsprinzip bei Versicherungen. Als ein Beispiel hierfür erwähnt Riedl die Nutzung persönlicher Daten durch Krankenversicherungen, die die Prämien individuell anpassen könnten, was wiederum das Solidaritätsprinzip in Frage stelle.

Dieser Sachverhalt könne in der Gesellschaft die Frage aufwerfen, ob wir auf die Solidarität verzichten oder ob wir sie weiterhin aufrechterhalten wollen. Dies führe in diesem Bereich zur Notwendigkeit, dass wir zukünftig diesen bisher für uns selbstverständlichen Mechanismus aktiv regeln müssten.

Datenschutz als Mittel gegen Datenmissbrauch

Die Daten wurden schon lange vor dem Aufkommen des Internets erhoben. Mit der Demokratisierung des Internets ist die Datenmenge, die Erhebungsfreundlichkeit und das Interesse an der Gewinnung von Erkenntnissen aus dem Internet dramatisch gestiegen, was natürlich auch den Missbrauch von Daten zur Folge hat. Um diesen zu verhindern, wurden seitens der Politik schon einige Vorstösse in Richtung Datenschutz gemacht. Selbst die Unternehmen intensivieren ihre Anstrengungen im Bereich Datenschutz. So wurde zum Beispiel im Juni 2017 Intelligent Tracking Prevention (ITP) entwickelt, ein Tool zur Reduzierung der Auswirkungen von Cookies von Drittanbietern und standortübergreifendes Tracking. Dies angesichts der Tatsache, dass “viele Benutzer das Gefühl haben, dass das Vertrauen gebrochen wird, wenn sie verfolgt werden, und dass datenschutzrelevante Daten über ihre Webaktivitäten für Zwecke erfasst werden, denen sie nie zugestimmt haben” (Wilander, 2017).

Nach Riedl befänden wir uns momentan in der Situation, in der wir am wenigsten darüber wüssten, wie Datenschutz tatsächlich funktionieren soll, obwohl in Deutschland bereits ein neues Datenschutzgesetz in Kraft getreten und auch in der Schweiz ein solches in Vorbereitung ist. Die Realität sei jedoch, dass der vollständige Schutz der Daten nicht gewährleistet werden könne. Einerseits, weil es global keine homogenen Regeln gäbe, und andererseits, weil die Zusammenarbeit zwischen Ländern weiterhin sehr eingeschränkt sei. Ebenfalls seien die Geschehnisse im Darknet und auch in der kriminellen Welt schwer kontrollierbar.

Ein weiterer Grund sei, dass Begriffe wie “personenbezogene Daten” in Zukunft ihre Bedeutung verlieren würden. Dies geschähe durch die Verknüpfung von sachlichen mit personenbezogenen Daten, die anschliessend anonymisiert würden. Durch diese Verknüpfung könnten diese Daten später aber wieder deanonymisiert werden. Somit würde der Personenbezug in Zukunft an Bedeutung verlieren. Um dieser Situation doch noch Herr zu werden, wäre nach Riedl anstatt eines Datenschutzgesetzes ein Datennutzungsgesetz die bessere Variante.

Konkret hieße das, wenn man sich bei einem Job bewerben würde, bei dem hohe körperliche Belastungen gefordert wäre und für dessen Bewerbungsverfahren deswegen Gendaten verlangt würden, es das Gesetz trotzdem nicht erlauben würde, diese Daten zur Verfügung zu stellen. Am Ende sei es nicht die Verletzung der Privatsphäre, die problematisch sei, sondern die Nutzung der Daten, die vom Betroffenen kaum kontrolliert werden könne.

Kontrollverlust über persönliche Daten

Für Riedl ist es wichtig zu verstehen, wie genau User und Userinnen die Hoheit (oder Kontrolle) über ihre personenbezogenen Daten verlieren. Der Kontrollverlust erfolge meistens schleichend und erst nachdem die personalisierten Daten an einem gewissen Ort entstanden sind. Hier habe der oder die Betroffene noch die theoretische Kontrolle über seine Daten. Später würden sie aber mit anderen Daten zusammengeführt und der Kontext mehrfach gewechselt. Bei diesen beiden Ereignissen würden die User und Userinnen oftmals die Kontrolle über ihre Daten verlieren. Hierbei sei entscheidend, ob die Betroffenen noch identifizierbar sind. Falls sie anonymisiert wären, sei der Kontrollverlust harmlos. Ebenfalls wichtig sei, dass Daten in gewissen Fällen mit verschiedenen Methoden auch wieder deanonymisiert werden können. Da der Kontrollverlust hauptsächlich beim Kontextwechsel erfolge, sei der Datenschutz darauf ausgerichtet, dass ein Kontextwechsel nur dann zulässig sei, wenn verschieden Erlaubnistatbestände gegeben sind – inklusive der expliziten Zustimmung der Betroffenen. Nach Riedl sei es den meisten Usern nicht wichtig, wofür was ihre personenbezogenen Daten genutzt würden. Im Moment würde noch beobachtet, wie sich dieser Markt, der sich noch in Kinderschuhen befindet, zukünftig entwickeln wird. Es sei jedoch auch ersichtlich, dass aus der Perspektive des Datenschutzes die Datennutzung transparenter werden müsse und die Nutzung möglichst simpel gestaltet werden sollte, damit man die Einstellungen zur Datennutzung bewusst und individuell ändern könne.

Datenschutzgesetze in der Schweiz

Wie steht es in der Schweiz um den Datenschutz? Hierzulande gab es einen ersten Versuch, das Datenschutzgesetz zu revidieren als Antwort auf die EU-Datenschutz-Grundverordnung (DSGVO), welche jedoch relativ früh in der Vernehmlassung gescheitert ist. Man hat sich danach dazu entschieden, das Ganze zu unterteilen in einen technischen Teil, der notwendig ist für den Schengenraum, und ein grundsätzlich neues Datenschutzgesetz, das jetzt im Parlament ist.

Gemäss Riedl würde das Schweizer Datenschutzgesetz ein wesentliches Element sein, wie und wo sich die Schweiz in Zukunft in der digitalen Wirtschaft platzieren wird. Es sei wichtig, dass die Schweiz den gleichen Status zugebilligt bekäme wie die EU und somit Schweizer Datenverarbeiter gegenüber der EU nicht benachteiligt würden. Zusätzlich sollten die Kundenrechte auch wirklich gestärkt werden. Damit meint Riedl, dass man Daten einfach ohne Hindernisse aus einer Cloud herausnehmen oder sie auf eine andere Cloud transferieren könne. So soll insbesondere eine Zweit- oder Drittnutzung von Datensammlungen durch den Betroffenen ermöglicht werden.

Nach Riedl müsse die Schweiz darauf achten, dass das Datenschutzgesetz nicht wie beim deutschen Diskurs an der Realität vorbei ginge. Die Realität, dass bereits viele Unternehmen, insbesondere grosse aus den USA, durchaus eine positive Haltung zum Datenschutzgesetz einnähmen.

Nichtsdestotrotz könnte es der EU trotzdem gelingen, der digitalen freien Wirtschaft Prinzipien aufzuerlegen, die den Schutz der Betroffenen garantierten, obwohl das von vielen Seiten bezweifelt wurde. Gerade die Schweiz könne unter dem Label “Swissness” den Datenschutz gut verkaufen. Es könne gut sein, dass Schweizer Unternehmen unter dem Label «Made in Switzerland» im Ausland aufträten und gerade deshalb die Aufträge erhielten.

In der EU würde gegenwärtig hingegen ein Kult um die Komplexität der DSGVO gemacht, anstatt zu begreifen, dass die DSGVO durchaus ein ökonomisches Potential habe. Die Schweizer Wirtschaft habe zwar lange Zeit nicht begriffen, dass der Datenschutz eine positive Bedeutung habe, scheine aber jetzt im Vergleich zur EU doch erste Schritte in die richtige Richtung zu machen.

Datenschutz als Feind von Big Data

Viele Datenschutzkritiker behaupten, dass Big Data unter der Auferlegung von Prinzipien zu ersticken droht. Der Datenschutz wird gar als Feind von Big Data beschrieben. Ist effektiver Datenschutz wirklich so schädlich? Golliez glaubt nicht, dass der Datenschutz selbst das Problem für Europa sei, sondern vielmehr, dass China und USA einen signifikanten Vorteil hätten. Nicht aus Datenschutzgründen, sondern weil in diesen Ländern die grossen Datenplattformen angesiedelt seien. Was sich Europa überlegen müsse, sei, wie es das kompensieren könne, weil hier nur kleine Datenmengen verfügbar wären.

Laut Golliez zeige sich das Phänomen, dass die DSGVO sogar wie ein Exportprodukt zu einem weltweiten Standard würde, quasi als Vorzeigebeispiel wie man mit Daten vertrauensvoll umgehen solle. So würden zum Beispiel in Kalifornien ähnliche Gesetzgebungen im Bereich Datenschutz wie die DSGVO eingeführt.

Es bleibt uns nur, abzuwarten was im Sinne einer DSGVO auf uns zukommen wird und diese Entwicklungen stets kritisch zu hinterfragen.

Quellenverzeichnis

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB​ (November 2018).
Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz.
Abgerufen am 15.06.2019 von:
https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/
2018/Die_EU_DSGVO_undihre_Auswirkungen_auf_die_Schweiz_DE_Nov18.pdf.
download.pdf/Die_EU_DSGVOund_ihre_Auswirkungen_auf_die_Schweiz_DE_Nov18.pdf

Golliez, André. Interview zum Thema Datensammlung und Gesellschaft. Interview durchgeführt am 29.04.2019 von Georg Oberer.

Graeff, Timothy R. & Harmon, Susan (2002). Collecting and using personal data consumers’ awareness and concerns
Collecting and using personal data: consumers’ awareness and concerns.
Abgerufen am 22.06.2019:
https://www.emeraldinsight.com/doi/pdfplus/10.1108/07363760210433627

Müller, Giorgio V (25.01.2018). Datenschutz heisst Schutz der Privatsphäre. Abgerufen am 15.06.2019 von:
https://www.nzz.ch/meinung/datenschutz-heisst-schutz-der-privatsphaere-ld.1350896

Riedl, Reinhard. Interview zum Thema Datensammlung und Gesellschaft. Interview durchgeführt am 24.04.2019 von Georg Oberer.

Wilander, J. (05.06.2017). Intelligent Tracking Prevention.
Abgerufen am 22.06.2019 von
https://webkit.org/blog/7675/intelligent-tracking-prevention/​

Autoren

Georg Oberer, Giuliano Ardesi, Axel Kandel, Edward Leonar

fh-zentralschweiz