Datenschutz Weshalb die DSGVO unzulänglich ist

Datenschutz

Weshalb die DSGVO unzulänglich ist

Carl-Josef Kutzbach

Samstag, 19. Mai 2018

Das Beste, was man über die am 25.5.2018 in Kraft tretende Datenschutz-Grundverordnung sagen kann, ist, dass sie vielen Menschen überhaupt erst bewusst macht, dass Daten einen Wert haben und geschützt werden müssen.

Da man Daten nicht spürt, in vielen Fällen deren Absaugen auch gar nicht bemerkt, ist nicht verwunderlich, dass der Datenschutz bisher weitgehend vernachlässigt wurde. Es gibt kein Sinnesorgan, das Daten und deren Verlust wahrnehmen könnte. Wir merken erst etwas, wenn der Bildschirm nicht das anzeigt, was wir wollen, oder Geschäfte nicht so laufen, wie geplant.

Niemand spürt beim Besuch der Internet-Seiten von Bild, Spiegel-online und Zeit, dass im Hintergrund Daten an 154 Firmen weiter gegeben werden (Quelle: journalist 05/2018). Ganz vielen Benutzern der E-mail ist nicht bewusst, dass durch automatisches Nachladen von Bildern oder Texten, der Absender eine Lesebestätigung bekommt, also weiß, wann man die Mail geöffnet hat. Neuerdings weiß man, dass man über dieses Verfahren auch verschlüsselte Mails knacken kann (spektrum.de 17.5.2018 / efail-attack-paper.pdf).

Mythos Internet

Insofern ist es erfreulich, dass der Gesetzgeber mit der DSGVO die Aufmerksamkeit auf Datenflüsse und Datenspeicherung lenkt, die problematisch sein können. Viel zu lange hat man dem Mythos gehuldigt, das Internet sei eine weltweite Kommunikationsplattform, die es allen erlaube miteinander in Kontakt zu treten. Dagegen sprach schon lange, dass es Staaten gibt, die bestimmte Bereiche des Netzes blockieren.

Auch der Mythos, dass Daten im Internet jederzeit ihren Weg fänden, wenn nicht über A, dann über B oder C, ist so nicht haltbar, denn die Daten brauchen ja physikalisch vorhandene Leitungen, seien das Kabel, Glasfasern, oder Funkstrecken. Daher die geringen Datenraten auf dem Lande, oder die Drosselung von Datenströmen, wenn transatlantische Kabel, sogenannte „Backbones“, was Rückrat heißt und die Hauptverkehrsstraßen der Datennetze meint, oder wichtige Knotenpunkte, sozusagen die Kreuzungen oder Abzweige der Datenleitungen gestört sind.

Als man vor vielen Jahren an der Universität Stuttgart im Höchstleistungsrechenzentrum zusammen mit zwei weiteren Rechenzentren, davon eines in Amerika, eine Simulation vom Flugverhalten eines Flugzeugs und dem Einschlag eines großen Meteoriten auf die Erde berechnen wollte, wobei jedes Rechenzentrum einen Teil der Aufgaben übernahm, klappte das nur zum Teil, weil die Verbindung zu einem Rechenzentrum nicht die nötigen Datenmengen bewältigen konnte. Also konnte dieses Rechenzentrum die ihm gestellte Aufgabe nicht lösen.

Warum klemmt es beim Datenschutz

Das Internet und die E-mail entstanden ursprünglich als Kommunikationsmittel zwischen Wissenschaftlern, und als sicheres Kommunikationsmittel für Militärs. Das ursprüngliche Ziel war also Daten zu übermitteln und zu teilen. An ein weltweites Netz oder gar dessen Kontrolle dachte man zunächst vermutlich gar nicht.

Weil man das Telefonnetz für das Internet benutzen konnte, schien es ein ideales Medium, um nicht mehr nur gesprochene Signale zu übermitteln, sondern (mittels Akustik-Koppler) auch Bilder und Texte, also allerlei Daten, die in Töne umgewandelt werden mussten. Ein riesiger Fortschritt für das Netz war, als man von analog auf digital umzustellen vermochte, denn nun waren Daten und Steuersignale alle digital und ließen sich eleganter übertragen.

Was man von Anfang an versäumte war eine weltweite Rechtsgrundlage zu schaffen, so dass alle Menschen in allen Ländern das Internet zu den gleichen Bedingungen hätten nutzen können. So entstand ein Rechts-freier Raum, der nicht nur Geschäftemacher, sondern auch Kriminelle anzog, gegen die man nur sehr schwer etwas unternehmen kann, da die entsprechenden Gesetze fehlen. So wie Steuerhinterzieher ihr Geld bei Firmen in Steuerparadiesen vor den Finanzbehörden in Sicherheit bringen, so benutzen Kriminelle Länder mit möglichst wenig Gesetzen zum Internet, oder, die mit möglichst wenig Ländern bei der Justiz zusammen arbeiten.

Ein weiteres Problem dürfte daher rühren, dass die Erfinder gar nicht an Missbrauch des Netzes dachten und daher wenig Vorkehrungen trafen es vor Missbrauch zu schützen. Das musste erst dann mühsam nachgerüstet werden, als man merkte, dass das Kind (die Daten) bereits in den Brunnen (Datendiebe) gefallen war. Natürlich musste man Bankgeschäfte über das Netz (online-banking) schützen. Irgend wann wollte man die E-mail nicht mehr als für jeden lesbare Postkarte versenden, sondern bei vertraulichen Inhalten sie auch verschlüsseln. Das wiederum war den Geheimdiensten gar nicht recht, die bis dahin relativ leicht auf nahezu alle Daten zugreifen konnten.

Verschärft wurden die Probleme noch durch die Smart-Phones, weil die Daten nun nicht mehr über physikalische Leitungen, sondern über Funk übertragen wurden. Die Idee von Steve Jobs den Rechner ins Telefon zu integrieren war zwar äußerst reizvoll, aber bedeutete eben auch, dass der Schutz der Daten nun noch vielseitiger sein musste, eben weil viele statt eines Schreibtisch-Rechners nun den Rechner in der Hosentasche mit sich führen. Das bedeutet aber auch, dass jederzeit die Standortdaten anfallen, da sich das Gerät ja sonst nicht mit der nächsten Antenne verbinden könnte. Seither fließt ein dauernder Datenstrom mit den Standortdaten des Benutzers in die Rechner der Telefon-Anbieter. Jeder Mobilfunk-Teilnehmer hinterlässt (auch ohne GPS) eine Datenspur, die verrät, wann er wo war. Der Streit um die Vorratsdaten-Speicherung (Speicherung aller Telefonverbindungsdaten und damit Ortsdaten über einen gewissen Zeitraum) zeigt, dass diese Daten dazu missbraucht werden könnten, um ein Bewegungsprofil jedes Bürgers zu erstellen. Das ist für die Strafverfolgung nützlich, aber die Daten könnten auch zur Überwachung der Bürger missbraucht werden.

Unterschiedliche Rechtsnormen

In den USA gibt es ein Gesetz, dass denjenigen, der Speicherplatz auf Rechnern (Servern) zur Verfügung stellt, von jeglicher Haftung für die Inhalte befreit. Damit wurden diese Rechner praktisch ebenfalls zu einem Rechts-freien Raum, der selbstverständlich auch zum Missbrauch einlädt, etwa zum veröffentlichen von Material bei Audio-, Video- oder Foto-Kanälen, für das man selbst gar nicht die Rechte besitzt. Oder Tauschbörsen von Software, egal, ob man die nötigen Rechte besitzt, oder nicht.

Daher verstehen die amerikanischen Firmen die Kritik der Europäer an solchen Verstößen gegen das Urheberrecht kaum. Deshalb haben sie auch keine Skrupel Millionen von Nutzerdaten an andere Firmen weiter zu geben, ohne genau zu wissen, was die damit machen.

Und weil das von den beteiligten Firmen alles so einfach und bequem angeboten wurde, hat sich kaum jemand Gedanken gemacht, ob es den legal, geschweige denn legitim ist, mit den Daten, die man anderen Menschen – meist ohne, dass sie es merken und wissen – klaut, Geschäfte zu machen. Es gibt Berechnungen, das ein großes so genanntes „Soziales Medium“ monatlich Daten von den Benutzern abzieht, die etwa 5 Euro Wert sind. Eigentlich müsste die Firma jedem Benutzer 60 Euro im Jahr für dessen Daten bezahlen. Statt dessen tut man großzügig und sagt, dass die Benutzung des Mediums nichts koste. Macht 60 Euro Einnahmen je Benutzer und Jahr.

Das funktioniert allerdings nur solange, bis ein anderes Land mit entsprechender Menschenzahl und Wirtschaftskraft für seinen Hoheitsbereich andere Gesetze einführt. Das geschieht in Europa mit dem DSGVO und gefährdet damit die Geschäftsinteressen und Gewinnchancen der großen US-Firmen. Es geht also nicht nur um Datenschutz, sondern auch um die Rechte der Autoren, Fotografen und anderer Künstler, die von den US-Konzernen teilweise gnadenlos ausgebeutet werden. Bei manchen Diensten steht im Kleingedruckten, dass die Firma die Rechte für die hochgeladenen Werke, allein schon durch das Hochladen, erhält und damit machen kann, was sie will. Das kann man auch ganz schlicht als Ausbeutung bezeichnen, die dreister Weise oft als kostenloser Service angeboten wird, und in den USA völlig legal sein kann.

Auswirkungen der DSGVO

Das Erste, was die meisten von dieser Verordnung merken ist, dass sie jede Menge Papierkram (oder entsprechende elektronische Arbeiten) zu erledigen bekommen. Das ist zunächst mal nur lästig und kostet Selbständige und kleine Firmen viel Zeit und damit auch Geld.

Was man dem Gesetzgeber vorwerfen kann ist, dass er von allen, die Daten verarbeiten oder Webseiten betreiben, fordert, dass deren Datenschutz-Erklärung in einfachem, gut verständlichen Deutsch verfasst werden soll, selbst aber das Gesetz so formuliert, dass mehr Unsicherheit, als Klarheit entsteht. Der Gesetzgeber hätte mit gutem Beispiel voran gehen sollen. Dann wäre jetzt die Unsicherheit, was man tun muss, oder ob man und wenn ja, wie sehr man betroffen ist, geringer. Das hätte vor allem den kleinen Firmen und Webseiten-Betreibern, aber auch Pressefotografen, Kameraleuten, Journalisten und Bloggern viel unnötige Mühe, Arbeitszeit und Kosten ersparen können. Es handelt sich also wieder einmal um einen Fall von:

Gut gemeint, ist noch lange nicht gut gemacht!

Folgen der DSGVO

Grundsätzlich zu begrüßen ist, dass dadurch alle gezwungen sind über ihren Umgang mit eigenen und fremden Daten nachzudenken. Das war eigentlich schon lange fällig.

Erste Reaktionen zeigen, dass Manche ihre Webseite stilllegen, weil sie keine Lust haben sich mit der DSGVO zu befassen. Andere ziehen mit ihrer Mailingliste von amerikanischen auf europäische Server um, für die strengere Regeln gelten. Rechtsanwälte bekommen eine Flut von Anfragen, weil der Laie Angst hat, dass seine Unkenntnis, oder sein Nichtverstehen der Verordnung, für ihn teuer werden könnte, weil die Strafen (eigentlich im Blick auf die großen Internet-Konzerne) ganz erheblich ausfallen können.

Der Gesetzgeber verschreckt also die „kleinen Fische“, bürdet ihnen eine Menge Arbeit auf, macht Abmahn-Anwälten das Geschäft lukrativer und führt dazu, dass Geschäftsprozesse, die jahrelang problemlos liefen, plötzlich komplizierter werden. Damit soll nicht geleugnet werden, dass sich nicht auch gewohnheitsmäßig Missbrauch eingeschlichen haben kann. Wenn der durch die Verordnung abgestellt wird, ist das gut.

Aber wenn etwa ein kleiner Laden von einem Kunden gemeldet bekommt, dass er keine Werbung, keine Rundbriefe mehr möchte und, dass man seine Adresse löschen solle, dann ist das zunächst mal klar und akzeptabel. Wenn aber dieser Laden nun bei einem Adressenhändler Adressen für die Werbung kauft, wie soll er feststellen, ob da der Kunde, der seine Ruhe haben wollte, nicht doch wieder mit drin steht? Er hat ja die Adresse gelöscht, kann also nicht vergleichen, ob die vielleicht in den Daten des Adresshändlers wieder mit dabei ist. Wenn dürfte der Kunde verärgert sein und der Laden hätte Geld für eine für ihn wertlose Adresse ausgegeben.

Wie die Auswirkungen auf die „dicken Fische“ sein wird, ist schwer vorher zu sagen. Was passiert, wenn Verlage die Daten ihrer Nutzer nicht mehr an hunderte von Firmen weiter geben dürfen? Viele verlangen ja heute schon, dass man der Nutzung von Cockies (kleine Programme oder Datensätze) zustimmt, um die Seite überhaupt benutzen zu dürfen. Dass diese Cockies auch ein Einfallstor für schädliche Programme sein können, ist seit Langem bekannt. Deshalb waren sie lange Zeit in Deutschland verpönt und man kann deren Empfang in den meisten Browsern (Programme mit denen man die Seiten des Internets aufrufen und nutzen kann) verweigern. Nur funktioniert dann immer öfter die Seite nicht mehr so, wie man sie eigentlich nutzen möchte.

Es ist zu erwarten, dass viele Verlage die Gelegenheit beim Schopf packen werden, um einerseits ihren Datenschutz zu aktualisieren, aber andererseits die freie (kostenlose) Nutzung ihrer Seiten einzuschränken, da bisher nur wenige (z.B. die New York Times) mit den digitalen Angeboten Geld verdienen und den Verlust an analoger Werbung halbwegs ausgleichen können.

Damit verliert aber der interessierte Bürger die Möglichkeit auf vielen Seiten Informationen zu lesen und sich aus allem eine eigene Meinung zu bilden. Wer jedes Mal erst eine BezahlSchranke überwinden muss (was Zeit und Geld kostet), um Texte, Bilder und Filme betrachten zu können, der wird vermutlich weniger oft verschiedene Seiten aufrufen, sondern eher einige wenige, bei denen er sich aber anmelden (Datenspur) oder bezahlen (Datenspur) muss. Wer wenig Geld hat, wird dabei sowieso abgehängt, da viele Verlage nur noch Nebensächliches kostenlos anbieten werden. Beim Kauf eines gedruckten Medium entsteht normalerweise keine Datenspur.

Schon heute bemerkt man das immer häufiger, wenn eine Suchmaschine anonymen Besuch einer Seite anbietet (keine Datenspur), diese Seite nur unvollständig oder gar nicht angezeigt wird. Der Trend, dass man immer weniger freien Zugang zu Internet-Seiten bekommt, dürfte sich also fortsetzen. Damit einher geht aber wahrscheinlich auch eine sinkende Bereitschaft sich auf unterschiedlichsten Seiten eine ausgewogene und fundierte Meinung zu erarbeiten. Das dürfte wohl nur eine Minderheit tun, während die Mehrheit sich auf jene Informationen verlässt, die ihnen der Algorithmus eines so genannten „Sozialen Mediums“ zusendet, aber für die Gesellschaft sind diejenigen wichtig, die prüfen, ob die Meldungen der Medien stimmen, die verschiedene Argumente sammeln und abwägen, die prüfen, ob an Verschwörungsgeschichten etwas dran ist, oder nicht, die ihre Ergebnisse in Wikipedia oder in Parteien einspeisen und damit den gesellschaftlichen Diskurs (die Meinungsbildung aller Bürger durch gegenseitigen Austausch) fördern, oder anregen, wie das im klassischen Journalismus auch der Fall war.

Statt dessen könnte es sein, dass man bei ein oder zwei Medien bezahlt, wie früher bei einem Abonnement und dann die eigene Meinung im Laufe der Zeit sich immer mehr der des Mediums anpasst. Damit wird ein grundsätzlicher Vorteil des Internet als Vermittler zwischen allen Menschen veschädigt.

Natürlich müssen privatwirtschaftliche Medien Geld verdienen. Bei den öffentlich rechtlichen spielt die Werbung und damit die Datenweitergabe viel weniger eine Rolle, eben weil sie über Gebühren finanziert werden. Deshalb wird diskutiert, ob man nicht für privatwirtschaftliche Medien auch so eine Art Gebühr erheben sollte, weil sie ja eigentlich auch zum demokratischen Diskurs, zur Meinungsbildung beitragen.

Die Finanzierung durch Werbung scheitert heute bei etwa einem Drittel der Nutzer, weil diese auf Grund der Aufdringlichkeit der Werbung einen Werbeblocker benutzen. Das entspricht in etwa dem Anteil der Briefkästen, die ebenfalls durch Aufkleber Werbung ablehnen. Doch statt die Werbung in die Schranken zu verweisen und sich von ihr zu emanzipieren, schimpfen viele Verlage auf die Werbeblocker und die Konkurrenz durch die Öffentlich-Rechtlichen Medien.

Wenn aber die Verlage ab dem 25.5.2018 die Daten der Nutzer nicht mehr heimlich an alle möglichen Firmen weiter geben dürfen, dann können diese Firmen, die die Werbung mittels der persönlichen Profile und Berechnungen nur denjenigen Nutzern zu zeigen versuchen, die dem gewünschten Persönlichkeitsprofil entsprechen, ebenfalls in Schwierigkeiten kommen. Man darf gespannt sein.

Was eigentlich nach dem 25.5.2018 aufhören müsste ist der Unsinn, dass man irgend wo schreibt, dass der Nutzer allein schon dadurch, dass er die Webseite besucht, dem Kleingedruckten zustimmt und (im schlimmsten Fall) alle Rechte an die Firma abtritt. Da man vor dem Aufrufen der Webseite von dieser Regelung keine Ahnung haben kann, dürfte dieser erpresserische Text eigentlich keine rechtliche Wirkung entfalten.

Fazit:

Die DSGVO lenkt die Aufmerksamkeit auf ein lange vernachlässigtes Gebiet, nämlich den Datenschutz. Das dürfte auf Dauer Auswirkungen sowohl auf die Wirtschaft, als auch auf die Nutzer haben. Im besten Fall wird der Benutzer wieder Herr seiner Daten (informationelles Selbstbestimmungsrecht), im schlimmsten Fall sind die Nebenwirkungen (v.a. auf kleine Fische) größer, als der Nutzen gegenüber den großen Anbietern und die Konzentration wächst weiter.

Möglicherweise beginnt damit auch ein Umdenken, dass die Digitalisierung entmythologisiert. Heute meint man ja alles müsse unbedingt digital gemacht werden. In Wirklichkeit dürfte es so sein, dass das Digitale in bestimmten Fällen die bessere Lösung ist, aber das Analoge, etwa Mechanik in anderen Bereichen dem Digitalen überlegen ist. Wenn jetzt durch den Datenschutz der Aufwand für digitale Lösungen so steigt, dass sie keinen Kostenvorteil mehr bieten, dann könnte es sein, dass man zu einem vernünftigeren Einsatz der verschiedenen Techniken kommt.

Das Bild oben zeigt eine Form der Datenverschlüsselung, die nicht empfehlenswert ist: Die Grafikkarte ist defekt und verändert dadurch die Ansicht, so dass sie nicht mehr nutzbar ist.