Wer in der Daten­öko­no­mie künf­tig als ver­trau­ens­wür­di­ger und rele­van­ter Akteur wahr­ge­nom­men wer­den will, ist gut bera­ten, der Daten­ho­heit der Nut­zer und dem Manage­ment der Ein­wil­li­gun­gen für die Daten­über­las­sung eine hohe stra­te­gi­sche Bedeu­tung einzuräumen. 

Im Inter­view erläu­tert Fre­de­rick Rich­ter, Prä­si­dent der Stif­tung Daten­schutz  (Foto), war­um sich Daten­schutz und Inno­va­ti­on kei­nes­falls wider­spre­chen müs­sen, wie eine deut­sche bzw. euro­päi­sche Alter­na­ti­ve in der Daten­öko­no­mie aus­se­hen könn­te und wes­halb wir eine Daten­po­li­tik mit Augen­maß benötigen. 

Herr Rich­ter, was macht die Stif­tung Daten­schutz, wofür ist sie da?

Die vom Bund gegrün­de­te gemein­nüt­zi­ge Ein­rich­tung ist eine Dis­kus­si­ons- und Infor­ma­ti­ons­platt­form zum Daten­schutz. Wir wol­len Impul­se geben zu einer inno­va­ti­ven Daten­po­li­tik und zugleich hel­fen, dass das bestehen­de Recht gut umge­setzt wird. Dazu erar­bei­ten wir in Pro­jek­ten zu ein­zel­nen Aspek­ten des Daten­schutz­rechts Hand­lungs­emp­feh­lun­gen. Auch im Bereich der Daten­schutz­zer­ti­fi­zie­rung ist die Bun­des­stif­tung enga­giert, beson­ders im Bereich cloud-com­pu­ting. Und schließ­lich wol­len wir auf­klä­ren: Die Ver­brau­cher zu ihren Rech­ten und die Unter­neh­men zur Umset­zung der sie tref­fen­den Pflichten.

In der öffent­li­chen Dis­kus­si­on wer­den Daten­schutz und Inno­va­ti­on häu­fig als Gegen­satz­paar behan­delt – schlie­ßen sich die bei­den tat­säch­lich aus?

Nein, ganz sicher nicht. Daten­schutz muss Inno­va­ti­on nicht hem­men, er kann sogar Trei­ber von Inno­va­ti­on sein. Wenn man weni­ger Zeit dar­auf ver­wen­de­te, das Ziel des Daten­schut­zes in Fra­ge zu stel­len, dann hät­te man mehr Zeit, sich auf den Weg dort­hin zu kon­zen­trie­ren. Natür­lich kommt es immer dar­auf an, wie der Daten­schutz „gelebt“ wird. Ein klu­ger Aus­gleich ist not­wen­dig, ein Kom­pro­miss ist zu suchen, bei dem es weder um ein kom­pro­miss­lo­ses Ver­bot jeder Daten­nut­zung geht, noch um von Daten­nut­zung zum Selbst­zweck werden.

Den Erfolg der US-ame­ri­ka­ni­schen Inter­net­kon­zer­ne füh­ren vie­le auf die dor­ti­gen locke­re­ren Daten­schutz­ge­set­ze zurück, wes­halb wir dem Bei­spiel fol­gen soll­ten – Ist das rea­lis­tisch bzw. wünschenswert?

Tat­säch­lich mei­nen man­che, dass die euro­päi­sche IT-Wirt­schaft nur vor­an­kom­men oder gar gleich­zie­hen könn­te, wenn Euro­pa sei­ne Daten­schutz­ge­set­ze locke­re und das Schutz­ni­veau sen­ke. Ich mei­ne aber, dass Euro­pa ein der­ar­ti­ges rechts­po­li­ti­sches race to the bot­tom nicht gewin­nen könn­te. In einen Wett­be­werb um das laxes­te Daten­schutz­recht ein­zu­stei­gen wäre auch nicht im Sin­ne der über­wie­gen­den Mehr­heit der Bür­ge­rin­nen und Bür­ger. Der euro­päi­sche Gesetz­ge­ber ist denn auch den umge­kehr­ten Weg gegan­gen und hat das Schutz­ni­veau mit der in Kraft gesetz­ten Reform gefes­tigt und noch erhöht. 

Wie bewer­ten Sie den Wider­stand der Wer­be­indus­trie und der Ver­la­ge gegen die ePri­va­cy-Ver­ord­nung (Track­ing-Schutz) – sind die Sor­gen berechtigt?

Der Wider­stand der genann­ten Bran­chen ist ver­ständ­lich, denn deren Sor­gen sind – mit Blick auf vie­le der dor­ti­gen Geschäfts­mo­del­le – berech­tigt. Falls die Ver­ord­nung in der der­zeit vor­lie­gen­den Form ver­ab­schie­det wer­den soll­te, wer­den sich vie­le Unter­neh­men im Sek­tor der digi­ta­len Wer­bung in ihren Ange­bo­ten mas­siv umori­en­tie­ren müs­sen. Eine der­art inten­si­ve Nut­zer­be­ob­ach­tung und ‑ver­fol­gung wie heut­zu­ta­ge wür­de mit der ePri­va­cy-Ver­ord­nung fak­tisch unmög­lich. Mut­maß­lich kaum ein Nut­zer wür­de aus­drück­lich dar­in ein­wil­li­gen wol­len, dass Unter­neh­men, die er zuvor gar nicht kann­te, sein Surf­ver­hal­ten im Inter­net pro­to­kol­lie­ren dürfen. 

Damit die Nut­zer an der Daten­öko­no­mie teil­ha­ben kön­nen, for­dern eini­ge ein Eigen­tums­recht an den Daten – ande­re wie­der­um hal­ten das für wachs­tums­ge­fähr­dend – Wo liegt hier die Wahrheit?

Wahr ist, dass es für man­chen reiz­voll klingt, den cla­im „Mei­ne Daten gehö­ren mir!“ recht­lich zu unter­füt­tern. Nach dem Wil­len der Poli­tik sol­len bei­spiels­wei­se Fahr­da­ten aus ver­netz­ten Autos dem jewei­li­gen Fahr­zeug­hal­ter wie Eigen­tum zuge­wie­sen wer­den und Gesund­heits­da­ten dem Pati­en­ten. Doch so ein­leuch­tend der­ar­ti­ge For­de­run­gen zunächst anmu­ten mögen, so kom­plex bis unmög­lich wäre deren Kodi­fi­ka­ti­on und Abstim­mung mit dem sons­ti­gen Recht. Manch Datum wird sich schwer­lich einer Ein­zel­per­son zuwei­sen las­sen; so müss­te z.B. das Geburts­da­tum infol­ge mehr­fa­cher Per­so­nen­be­zo­gen­heit wohl sowohl dem gebo­re­nen Kind als auch sei­ner Mut­ter „gehö­ren“. Der­ar­ti­ger Mehr­fach­be­zug wird dage­gen nach dem her­kömm­li­chen Daten­schutz­recht befrie­di­gend gelöst: Jede Per­son, auf die sich das Datum bezieht, kann ihr infor­ma­tio­nel­les Selbst­be­stim­mungs­recht aus­üben. Im Bei­spiel kön­nen sowohl Mut­ter als auch Kind ihre Daten­schutz­rech­te als betrof­fe­ne Per­so­nen gel­tend machen. Jedoch kann nach dem gel­ten­den Recht nie­mand abso­lut über ein Datum bestim­men. Wenn eine Per­son dage­gen Eigen­tü­me­rin oder Eigen­tü­mer eines Datums wür­de, könn­ten sie oder er alle ande­ren Men­schen und Orga­ni­sa­tio­nen dau­er­haft (und ohne Begrün­dung) von der Ver­wen­dung des Datums aus­schlie­ßen. Das könn­te gra­vie­ren­de Aus­wir­kun­gen auf die Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­frei­heit haben. Und schwer denk­bar ist schließ­lich, wie ein Daten­ei­gen­tums­recht mit dem euro­päi­schen Daten­schutz­recht in Ein­klang gebracht wer­den könnte. 

Was hal­ten Sie vom Modell eines Daten­treu­hän­ders, wie es u.a. von der Alli­anz und dem ADAC für die Auto­da­ten gefor­dert wird?

Bei einem so kom­ple­xen Gegen­stand wie dem mul­ti­pel ver­netz­ten Kraft­fahr­zeug kommt das Daten­schutz­recht in Sachen Rechts­klar­heit tat­säch­lich an sei­ne Gren­zen. Zwar lässt ich vie­les ver­trag­lich abbil­den, aber auch dies ist eine Her­aus­for­de­rung, gera­de im Haf­tungs­be­reich. Die Treu­hand­va­ri­an­te klingt mir ein wenig nach einer Ver­le­gen­heits­lö­sung, nach dem Mot­to: „Wenn wir bei der Zuwei­sung der Daten­ho­heit nicht wei­ter­kom­men, dann neh­men wir eben eine neu­tra­le Instanz“. Dabei käme es dann sehr auf die kon­kre­te Aus­ge­stal­tung an. Als Daten­schüt­zer möch­te ich jedoch im Effekt das Daten­sub­jekt, also den kon­kre­ten Mensch im Mit­tel­punkt sehen. Er muss die Kon­trol­le behal­ten, anders wird sich sein Ver­trau­en nicht gewin­nen lassen. 

Solan­ge das jet­zi­ge Inter­net mit sei­nen Macht­struk­tu­ren in die­ser Form fort­be­steht, ist gegen die Domi­nanz von Goog­le, Ama­zon, face­book und Apple (GAFA) nur schwer etwas aus­zu­rich­ten – soll­ten wir statt­des­sen nicht bes­ser in alter­na­ti­ve Infra­struk­tu­ren, wie die Block­chain-Tech­no­lo­gie mit ihrem dezen­tra­len Ansatz, inves­tie­ren oder kön­nen wir den Rück­stand noch aufholen?

Die Domi­nanz kann natür­lich nicht abge­kop­pelt von den Nut­zen­den betrach­tet wer­den. Wenn wir in Euro­pa im Bereich der Such­ma­schi­nen mit z.B. Start­pa­ge oder Qwant über­zeu­gen­de aus­ge­reif­te Alter­na­ti­ven zu Goog­le haben und Goog­le trotz­dem einen Markt­an­teil von 95 % behält, dann kann man den Grund dafür nicht nur in Kali­for­ni­en suchen. Die glei­che Situa­ti­on ergibt sich bei Mes­sen­ger-Diens­ten (Whats­App vs. Three­ma u.a.). Die Nut­zer­schaft hat hier mehr Markt­macht in der Hand, als oft gedacht. Bei den soge­nann­ten sozia­len Netz­wer­ken besteht eben wegen des Netz­werk­ef­fek­tes und der dadurch bedingt sehr nied­ri­gen Wech­sel­be­reit­schaft eine ganz ande­re Situa­ti­on. Ob im Netz­werk­be­reich, das zu die­sem Zweck bald anwend­ba­re Recht auf Daten­über­trag­bar­keit aus Art. 20 DSGVO viel ändern wird, bleibt skep­tisch abzuwarten.

Ein staat­li­ches Sub­ven­tio­nie­ren sähe ich jeden­falls weni­ger als Aus­weg – viel eher schon das Inves­tie­ren in mehr Auf­klä­rung und Bil­dung – Stich­wort data liter­acy – als des­sen Ergeb­nis die Nut­zen­den bewuss­ter nach pri­vat­sphä­re­scho­nen­den Alter­na­ti­ven aus­schau­en. In Sachen block­chain ist natür­lich For­schung zu leis­ten und durch­aus auch öffent­lich zu för­dern. Inwie­weit block­chain-basier­te Lösun­gen dem Anlie­gen des Daten­schut­zes hel­fen, wird ja durch­aus unter­schied­lich eingeschätzt.

In der letz­ten Zeit haben Goog­le und face­book ihre Akti­vi­tä­ten im Bereich Data Pri­va­cy – als Reak­ti­on auf die Ein­füh­rung der EU-Daten­schutz­grund­ver­ord­nung (DSGVO) – ver­stärkt; die deut­schen Unter­neh­men agie­ren hier dage­gen zurück­hal­tend – droht Deutsch­land den Anschluss im Daten­schutz zu verlieren?

In der Tat ist beacht­lich, dass Goog­le seit Jah­ren Kon­troll- und Ein­stell­mög­lich­kei­ten für sei­ne Nut­zer bereit­hält und euro­päi­sche Mit­be­wer­ber kaum; sogar ein Werk­zeug zur Ermög­li­chung der erst jetzt gesetz­lich gere­gel­ten Daten­por­ta­bi­li­tät bie­tet Goog­le bereits seit 2012 an. Doch sei nicht ver­schwie­gen, dass vie­le die­sen Ange­bo­ten nicht trau­en und sich noch viel weit­ge­hen­de­re Trans­pa­renz und Nut­zer­kon­trol­le wün­schen. Auch muss man unter­schei­den zwi­schen frei­wil­li­gen Akti­vi­tä­ten einer­seits und Geset­zes­kon­for­mi­tät ande­rer­seits, bes­ten­falls belegt durch Daten­schutz­zer­ti­fi­zie­run­gen von unab­hän­gi­ger Stel­le. Aber direkt zur Fra­ge: Ja, die hie­si­gen Unter­neh­men soll­ten sich nicht von außen trei­ben las­sen, son­dern sich (wie­der) an die Spit­ze set­zen. Mit Blick auf den erfolg­rei­chen Rechts­export, den die Über­nah­me der uns aus dem BDSG bekann­ten Grund­sät­ze in der gesam­ten EU dar­stellt, ist das fast schon eine Fra­ge natio­na­ler Glaubwürdigkeit.

Das letz­te gro­ße Unter­neh­mens­grün­dung in Deutsch­land war SAP – und das liegt bereits eini­ge Jahr­zehn­te zurück (1972). In den USA und Chi­na sind dage­gen in den letz­ten 20–25 Jah­ren Unter­neh­men wie Goog­le, face­book, Ama­zon, Ali­baba und Ten­cent ent­stan­den. Fin­det die Daten­öko­no­mie dem­nächst ohne deut­sche und euro­päi­sche Betei­li­gung statt?

Es wäre tat­säch­lich betrüb­lich, wenn die deut­sche Wirt­schaft lang­fris­tig nur noch zuschau­en könn­te, wie anders­wo IT-Cham­pi­ons ent­ste­hen. Dass ich es für falsch hal­te, den hie­si­gen Daten­schutz als Grün­dungs- und Inves­ti­ti­ons­brem­se anzu­se­hen, sag­te ich bereits. Es sind vie­le wei­te­re Fak­to­ren, die Inno­va­ti­on erschwe­ren. Wir soll­ten die För­de­rung von start-ups hoch­fah­ren und Büro­kra­tie zurück­kämp­fen, das wäre schon mal ein Anfang.

Was sind Ihrer Ansicht nach die größ­ten Her­aus­for­de­run­gen im Daten­schutz und in der Daten­po­li­tik in den nächs­ten fünf Jahren?

Rechts­po­li­tisch gilt es nun zunächst zu beob­ach­ten, wie sich die EU-Daten­schutz­grund­ver­ord­nung in der Pra­xis bewährt und vor allem, wie sie durch­ge­setzt wird. Wäh­rend man­che sie als die gro­ße (Er)Lösung im Daten­schutz anse­hen, geben sich ande­re skep­tisch, ob das neue Recht wirk­lich „inter­net­fest“ und „big data-taug­lich“ sein kann. 

Aus mei­ner Sicht muss vor allem das Kon­zept der ver­meint­lich „infor­mier­ten“ Ein­wil­li­gung auf Taug­lich­keit und Alter­na­ti­ven über­prüft wer­den. Die Nut­ze­rin­nen und Nut­zer sind seit jeher mit den mas­sen­haft auf sie ein­pras­seln­den Ein­wil­li­gungs­an­fra­gen über­for­dert, mit dem Ergeb­nis, dass meist eher unbe­wusst weit­rei­chen­der Daten­ver­wen­dung zuge­stimmt wird. Wie in dem Bereich das neue stren­ge Kopp­lungs­ver­bot wirkt, wer­den wir sehen. 

„Put the user back in con­trol” for­dert die fin­ni­sche MyDa­ta-Initia­ti­ve, und ich kann mich dem nur anschlie­ßen. Solan­ge der Ein­zel­ne kei­nen Über­blick über erteil­te Ein­wil­li­gun­gen hat und dar­über, wel­cher Orga­ni­sa­ti­on er wann wel­chen Umgang mit ihn betref­fen­den Daten gestat­tet hat, kann ech­te infor­ma­tio­nel­le Selbst­be­stim­mung im Sin­ne des Bun­des­ver­fas­sungs­ge­richts nicht erreicht wer­den. Hier müs­sen inno­va­ti­ve Lösun­gen gefun­den werden.

Herr Rich­ter, vie­len Dank für das Gespräch!