Wer in der Datenökonomie künftig als vertrauenswürdiger und relevanter Akteur wahrgenommen werden will, ist gut beraten, der Datenhoheit der Nutzer und dem Management der Einwilligungen für die Datenüberlassung eine hohe strategische Bedeutung einzuräumen.
Im Interview erläutert Frederick Richter, Präsident der Stiftung Datenschutz (Foto), warum sich Datenschutz und Innovation keinesfalls widersprechen müssen, wie eine deutsche bzw. europäische Alternative in der Datenökonomie aussehen könnte und weshalb wir eine Datenpolitik mit Augenmaß benötigen.
Herr Richter, was macht die Stiftung Datenschutz, wofür ist sie da?
Die vom Bund gegründete gemeinnützige Einrichtung ist eine Diskussions- und Informationsplattform zum Datenschutz. Wir wollen Impulse geben zu einer innovativen Datenpolitik und zugleich helfen, dass das bestehende Recht gut umgesetzt wird. Dazu erarbeiten wir in Projekten zu einzelnen Aspekten des Datenschutzrechts Handlungsempfehlungen. Auch im Bereich der Datenschutzzertifizierung ist die Bundesstiftung engagiert, besonders im Bereich cloud-computing. Und schließlich wollen wir aufklären: Die Verbraucher zu ihren Rechten und die Unternehmen zur Umsetzung der sie treffenden Pflichten.
In der öffentlichen Diskussion werden Datenschutz und Innovation häufig als Gegensatzpaar behandelt – schließen sich die beiden tatsächlich aus?
Nein, ganz sicher nicht. Datenschutz muss Innovation nicht hemmen, er kann sogar Treiber von Innovation sein. Wenn man weniger Zeit darauf verwendete, das Ziel des Datenschutzes in Frage zu stellen, dann hätte man mehr Zeit, sich auf den Weg dorthin zu konzentrieren. Natürlich kommt es immer darauf an, wie der Datenschutz „gelebt“ wird. Ein kluger Ausgleich ist notwendig, ein Kompromiss ist zu suchen, bei dem es weder um ein kompromissloses Verbot jeder Datennutzung geht, noch um von Datennutzung zum Selbstzweck werden.
Den Erfolg der US-amerikanischen Internetkonzerne führen viele auf die dortigen lockereren Datenschutzgesetze zurück, weshalb wir dem Beispiel folgen sollten – Ist das realistisch bzw. wünschenswert?
Tatsächlich meinen manche, dass die europäische IT-Wirtschaft nur vorankommen oder gar gleichziehen könnte, wenn Europa seine Datenschutzgesetze lockere und das Schutzniveau senke. Ich meine aber, dass Europa ein derartiges rechtspolitisches race to the bottom nicht gewinnen könnte. In einen Wettbewerb um das laxeste Datenschutzrecht einzusteigen wäre auch nicht im Sinne der überwiegenden Mehrheit der Bürgerinnen und Bürger. Der europäische Gesetzgeber ist denn auch den umgekehrten Weg gegangen und hat das Schutzniveau mit der in Kraft gesetzten Reform gefestigt und noch erhöht.
Wie bewerten Sie den Widerstand der Werbeindustrie und der Verlage gegen die ePrivacy-Verordnung (Tracking-Schutz) – sind die Sorgen berechtigt?
Der Widerstand der genannten Branchen ist verständlich, denn deren Sorgen sind – mit Blick auf viele der dortigen Geschäftsmodelle – berechtigt. Falls die Verordnung in der derzeit vorliegenden Form verabschiedet werden sollte, werden sich viele Unternehmen im Sektor der digitalen Werbung in ihren Angeboten massiv umorientieren müssen. Eine derart intensive Nutzerbeobachtung und ‑verfolgung wie heutzutage würde mit der ePrivacy-Verordnung faktisch unmöglich. Mutmaßlich kaum ein Nutzer würde ausdrücklich darin einwilligen wollen, dass Unternehmen, die er zuvor gar nicht kannte, sein Surfverhalten im Internet protokollieren dürfen.
Damit die Nutzer an der Datenökonomie teilhaben können, fordern einige ein Eigentumsrecht an den Daten – andere wiederum halten das für wachstumsgefährdend – Wo liegt hier die Wahrheit?
Wahr ist, dass es für manchen reizvoll klingt, den claim „Meine Daten gehören mir!“ rechtlich zu unterfüttern. Nach dem Willen der Politik sollen beispielsweise Fahrdaten aus vernetzten Autos dem jeweiligen Fahrzeughalter wie Eigentum zugewiesen werden und Gesundheitsdaten dem Patienten. Doch so einleuchtend derartige Forderungen zunächst anmuten mögen, so komplex bis unmöglich wäre deren Kodifikation und Abstimmung mit dem sonstigen Recht. Manch Datum wird sich schwerlich einer Einzelperson zuweisen lassen; so müsste z.B. das Geburtsdatum infolge mehrfacher Personenbezogenheit wohl sowohl dem geborenen Kind als auch seiner Mutter „gehören“. Derartiger Mehrfachbezug wird dagegen nach dem herkömmlichen Datenschutzrecht befriedigend gelöst: Jede Person, auf die sich das Datum bezieht, kann ihr informationelles Selbstbestimmungsrecht ausüben. Im Beispiel können sowohl Mutter als auch Kind ihre Datenschutzrechte als betroffene Personen geltend machen. Jedoch kann nach dem geltenden Recht niemand absolut über ein Datum bestimmen. Wenn eine Person dagegen Eigentümerin oder Eigentümer eines Datums würde, könnten sie oder er alle anderen Menschen und Organisationen dauerhaft (und ohne Begründung) von der Verwendung des Datums ausschließen. Das könnte gravierende Auswirkungen auf die Informations- und Kommunikationsfreiheit haben. Und schwer denkbar ist schließlich, wie ein Dateneigentumsrecht mit dem europäischen Datenschutzrecht in Einklang gebracht werden könnte.
Was halten Sie vom Modell eines Datentreuhänders, wie es u.a. von der Allianz und dem ADAC für die Autodaten gefordert wird?
Bei einem so komplexen Gegenstand wie dem multipel vernetzten Kraftfahrzeug kommt das Datenschutzrecht in Sachen Rechtsklarheit tatsächlich an seine Grenzen. Zwar lässt ich vieles vertraglich abbilden, aber auch dies ist eine Herausforderung, gerade im Haftungsbereich. Die Treuhandvariante klingt mir ein wenig nach einer Verlegenheitslösung, nach dem Motto: „Wenn wir bei der Zuweisung der Datenhoheit nicht weiterkommen, dann nehmen wir eben eine neutrale Instanz“. Dabei käme es dann sehr auf die konkrete Ausgestaltung an. Als Datenschützer möchte ich jedoch im Effekt das Datensubjekt, also den konkreten Mensch im Mittelpunkt sehen. Er muss die Kontrolle behalten, anders wird sich sein Vertrauen nicht gewinnen lassen.
Solange das jetzige Internet mit seinen Machtstrukturen in dieser Form fortbesteht, ist gegen die Dominanz von Google, Amazon, facebook und Apple (GAFA) nur schwer etwas auszurichten – sollten wir stattdessen nicht besser in alternative Infrastrukturen, wie die Blockchain-Technologie mit ihrem dezentralen Ansatz, investieren oder können wir den Rückstand noch aufholen?
Die Dominanz kann natürlich nicht abgekoppelt von den Nutzenden betrachtet werden. Wenn wir in Europa im Bereich der Suchmaschinen mit z.B. Startpage oder Qwant überzeugende ausgereifte Alternativen zu Google haben und Google trotzdem einen Marktanteil von 95 % behält, dann kann man den Grund dafür nicht nur in Kalifornien suchen. Die gleiche Situation ergibt sich bei Messenger-Diensten (WhatsApp vs. Threema u.a.). Die Nutzerschaft hat hier mehr Marktmacht in der Hand, als oft gedacht. Bei den sogenannten sozialen Netzwerken besteht eben wegen des Netzwerkeffektes und der dadurch bedingt sehr niedrigen Wechselbereitschaft eine ganz andere Situation. Ob im Netzwerkbereich, das zu diesem Zweck bald anwendbare Recht auf Datenübertragbarkeit aus Art. 20 DSGVO viel ändern wird, bleibt skeptisch abzuwarten.
Ein staatliches Subventionieren sähe ich jedenfalls weniger als Ausweg – viel eher schon das Investieren in mehr Aufklärung und Bildung – Stichwort data literacy – als dessen Ergebnis die Nutzenden bewusster nach privatsphäreschonenden Alternativen ausschauen. In Sachen blockchain ist natürlich Forschung zu leisten und durchaus auch öffentlich zu fördern. Inwieweit blockchain-basierte Lösungen dem Anliegen des Datenschutzes helfen, wird ja durchaus unterschiedlich eingeschätzt.
In der letzten Zeit haben Google und facebook ihre Aktivitäten im Bereich Data Privacy – als Reaktion auf die Einführung der EU-Datenschutzgrundverordnung (DSGVO) – verstärkt; die deutschen Unternehmen agieren hier dagegen zurückhaltend – droht Deutschland den Anschluss im Datenschutz zu verlieren?
In der Tat ist beachtlich, dass Google seit Jahren Kontroll- und Einstellmöglichkeiten für seine Nutzer bereithält und europäische Mitbewerber kaum; sogar ein Werkzeug zur Ermöglichung der erst jetzt gesetzlich geregelten Datenportabilität bietet Google bereits seit 2012 an. Doch sei nicht verschwiegen, dass viele diesen Angeboten nicht trauen und sich noch viel weitgehendere Transparenz und Nutzerkontrolle wünschen. Auch muss man unterscheiden zwischen freiwilligen Aktivitäten einerseits und Gesetzeskonformität andererseits, bestenfalls belegt durch Datenschutzzertifizierungen von unabhängiger Stelle. Aber direkt zur Frage: Ja, die hiesigen Unternehmen sollten sich nicht von außen treiben lassen, sondern sich (wieder) an die Spitze setzen. Mit Blick auf den erfolgreichen Rechtsexport, den die Übernahme der uns aus dem BDSG bekannten Grundsätze in der gesamten EU darstellt, ist das fast schon eine Frage nationaler Glaubwürdigkeit.
Das letzte große Unternehmensgründung in Deutschland war SAP – und das liegt bereits einige Jahrzehnte zurück (1972). In den USA und China sind dagegen in den letzten 20–25 Jahren Unternehmen wie Google, facebook, Amazon, Alibaba und Tencent entstanden. Findet die Datenökonomie demnächst ohne deutsche und europäische Beteiligung statt?
Es wäre tatsächlich betrüblich, wenn die deutsche Wirtschaft langfristig nur noch zuschauen könnte, wie anderswo IT-Champions entstehen. Dass ich es für falsch halte, den hiesigen Datenschutz als Gründungs- und Investitionsbremse anzusehen, sagte ich bereits. Es sind viele weitere Faktoren, die Innovation erschweren. Wir sollten die Förderung von start-ups hochfahren und Bürokratie zurückkämpfen, das wäre schon mal ein Anfang.
Was sind Ihrer Ansicht nach die größten Herausforderungen im Datenschutz und in der Datenpolitik in den nächsten fünf Jahren?
Rechtspolitisch gilt es nun zunächst zu beobachten, wie sich die EU-Datenschutzgrundverordnung in der Praxis bewährt und vor allem, wie sie durchgesetzt wird. Während manche sie als die große (Er)Lösung im Datenschutz ansehen, geben sich andere skeptisch, ob das neue Recht wirklich „internetfest“ und „big data-tauglich“ sein kann.
Aus meiner Sicht muss vor allem das Konzept der vermeintlich „informierten“ Einwilligung auf Tauglichkeit und Alternativen überprüft werden. Die Nutzerinnen und Nutzer sind seit jeher mit den massenhaft auf sie einprasselnden Einwilligungsanfragen überfordert, mit dem Ergebnis, dass meist eher unbewusst weitreichender Datenverwendung zugestimmt wird. Wie in dem Bereich das neue strenge Kopplungsverbot wirkt, werden wir sehen.
„Put the user back in control” fordert die finnische MyData-Initiative, und ich kann mich dem nur anschließen. Solange der Einzelne keinen Überblick über erteilte Einwilligungen hat und darüber, welcher Organisation er wann welchen Umgang mit ihn betreffenden Daten gestattet hat, kann echte informationelle Selbstbestimmung im Sinne des Bundesverfassungsgerichts nicht erreicht werden. Hier müssen innovative Lösungen gefunden werden.
Herr Richter, vielen Dank für das Gespräch!