Partei gut. Fraktion gut. Glück auf! Franz Müntefering

Kein großes Bußgeld. Auch kein kleines.

Das neue Datenschutzgesetz sollte die Sammelwut der Konzerne eindämmen und dem Bürger wieder mehr Macht über seine Daten geben. Es existiert jedoch bis dato nur auf dem Papier, während Unternehmen der Politik immer bessere Argumente vorlegen, warum nicht weniger, sondern sogar noch mehr Daten gesammelt werden sollten. Datenschutzrechtliche Bedenken? Nope.

digitalisierung datensicherheit big-data

Ein stickiger Schulungsraum irgendwo in Köln. Dort wurden die künftigen betrieblichen Datenschutzbeauftragten auf ihre Arbeit vorbereitet. Mit Gesetzestexten, Kommentaren, Gerichtsentscheidungen, Theorie und Praxis (nach dem Ulmer Modell), Datenschutz und Informationssicherheit. Straff durchgetaktet, bis den Teilnehmern sprichwörtlich Dampf aus den Ohren kam.

Zulässigkeit der Datenverarbeitung für eigene Zwecke wurde durchexerziert, die Rechteabwägung und die Verhältnismäßigkeit. „Wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist“, hieß es in § 28 Abs. 1 Satz 1 des Bundesdatenschutzgesetzes, seien die Erhebung, Speicherung, Veränderung, Übermittlung oder Nutzung personenbezogener Daten für die Erfüllung eigener Geschäftszwecke zulässig, aber auch nur, „soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Oder auch „wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt“. (§ 28 Abs. 1 Satz 3 GDSB-alt).

Daher notwendig: Rechte- bzw. Interessenabwägung. Das Dafür und Dagegen wird in die Waagschale geworfen und in jedem einzelnen Fall sorgfältig geprüft. Am besten in einer Tabelle, empfahl der Dozent. Wann würden die „berechtigten Interessen“ des Unternehmens oder einer Organisation die „schutzwürdige Interessen“ des betroffenen Individuums dominieren, wollte er wissen? Bei Vertragsabschluss, Vorkasse – das sei offensichtlich. Auch wenn Unternehmen nach Gewinn streben? Die Adepten widersprachen entschieden. Doch, erwiderte der Dozent, denn: Wir leben zwar in einer Demokratie, aber wir leben auch im Kapitalismus. Damit seien Gewinnmaximierung, Prozessoptimierung, Streben der Unternehmen danach, ihre Bekanntheit zu steigern, Marketingzwecke oder einfach Erzielen einer „sympathischen Außenwirkung“ berechtigte Interessen der verarbeitenden Stellen, die das Grundrecht auf informationelle Selbstbestimmung des (potenziellen) Kunden überwiegen können.

Aus Alt mach Neu

Das alte Bundesdatenschutzgesetz wurde durch das neue abgelöst. Seit Mai 2018 gilt europaweit die einheitliche Datenschutzgrundverordnung (DSGVO), in die große Hoffnungen gelegt wurden: Sie würde das asymmetrische Machtverhältnis zwischen Kunden und den übermächtigen (Tech-)Konzernen wieder etwas ausbalancieren, den Bürgern mehr Macht über ihre Daten zurückgeben und ihnen zu mehr Mündigkeit verhelfen. Mit dem DSGVO sollte „ein fantastisches Unternehmen“ wie die Schufa Geschichte sein. Und auch andere Datenkraken sollten, wenn schon nicht ganz verschwinden, dann wenigstens gezähmt werden. Nicht zuletzt die enormen Bußgeldrahmen nach der DSGVO – für die in Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist; für weniger gewichtigen Verstöße (Art. 83 Abs. 4) immerhin bis zu zehn Mio. Euro oder bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres – sollten die internationalen Konzerne in die Knie zwingen.

Nun, es sollte wenigstens eine ernsthafte Auseinandersetzung mit den datenschutzrechtlichen Pflichten bewirken. Doch es kam ein wenig anders. Bisher, jedenfalls, blieben die exorbitanten Bußgelder aus. Und die kleinen offenbar auch. Möglicherweise mahlen die Mühlen der Regulierung auch nur noch etwas langsamer als sonst. Wetten, wofür das erste Bußgeld von einer deutschen Behörde verhängt wird, können noch angenommen werden. Der heißeste Kandidat scheint die Videoüberwachung zu sein. Bezüglich des Wann? wird noch nicht einmal gewettet.

Gebt uns die Daten!

Während laufender Ermittlungen zu den Verbindungen von Facebook zur Cambridge Analytica, die auf 87 Mio. Nutzerdaten ohne Wissen des Konzerns zugegriffen und im Wahlkampf verwendet haben sollen, denkt Facebook den Medienberichten zufolge weiter intensiv darüber nach, das Geschäft auszubauen und durch Kooperationen mit den Banken zu vertiefen. Facebook-User sollte es künftig über den Nachrichtendienst Messanger möglich sein, ihren Kontostand abzufragen, auf andere Dienstleistungen der Banken zuzugreifen oder direkt Käufe zu tätigen. Hierzu, so berichtete das Wall Street Journal (WSJ), sollten die Banken dem Techkonzern Informationen wie Kontostand, Kreditkartentransaktionen oder über welche andere Plattformen, neben dem Messenger, die Kunden Zahlungen mittels Kreditkarten tätigen, zur Verfügung stellen.

Das Ziel der Kooperation und der umfangreichen Abfrage personenbezogener Daten sei … eine Vertiefung des Nutzerengagements. Aber auch ein Angebot an neuen Bankdienstleistungen wie Mobile Payment oder Erleichterung der Kommunikation zwischen den Banken und ihren Kunden mittels Messenger. Facebook betonte gegenüber WSJ, die Daten weder an Dritte weiterzugeben noch für Werbung nutzen zu wollen. Diesem Bericht zufolge interessieren sich aber auch andere Techkonzerne, wie Alphabets Google oder Amazon, für die Daten der Bankkunden, um das „Einkaufserlebnis“ zu verbessern und Bankdienstleistungen über Google Assistant und Alexa anzubieten. Wobei von den Unternehmen stets betont wird, dass Sicherheit und Datenschutz integrale Bestandteile dieser Geschäftsmodelle seien, ohne konkrete Details zu nennen. Nach der Ankündigung machten jedenfalls die, infolge der Cambridge-Analytica-Skandale geplagten, Facebook-Aktien wieder einmal einen kleinen Sprung nach oben.

Empört euch!

Sollten wir empört sein? Nicht sofort. Denn genau das sind eventuell diese „berechtigten Interessen“, bei denen die Verarbeitung personenbezogener Daten entgegen den schutzwürdigen Interessen der Betroffenen zulässig sei. Während, sobald der Name „Facebook“ fällt, weder Medien noch Politik ohne Schaum vor dem Mund urteilen können, lohnt es sich zu schauen, wie die Datenschützer in ähnlichen Fällen befunden haben, beispielsweise bei der Bewertung der Kennzeichenerfassungssysteme an den Parkhäusern im Flughafenbetrieb (und sonstigen „großen Parkhäusern“). Als Teil des Parkplatz-Management-Systems sei dort die Erfassung von Autokennzeichen integriert. Eine Kamera erfasst das Frontbild des Autos, die Zeichenerkennung durch Software erfolgt. Beide Datensätze werden gespeichert und ein „Parkvorgang“ wird angelegt. Nach dem Ende des Parkens soll die Bilddatei gelöscht und der Datenbankeintrag „anonymisiert“ (aber nicht gelöscht) werden. Das Ziel des Verfahrens: Sicherstellung der Inkassosicherheit. „Der Betreiber behauptet, dass nach Einführung des Systems der behauptete Ticketverlust um 50 % gesunken ist.“ Zudem hat „[D]die Polizei […] einen gravierenden Rückgang von angezeigten Parkgebühr-Betrugsfällen seit Einführung des Systems bestätigt“.

Die Mehrzahl der Bundesländer, die sich an der Bewertung des Systems beteiligt haben und die von der Anwendbarkeit der §§ 6b oder 28 Abs. 1 S.1 BDSG-alt ausgegangen sind, ist der Meinung, „dass die Kennzeichenerfassung ein geeignetes Mittel zum Zweck der Inkassosicherheit ist“. Für große Parkhäuser, wohlgemerkt, denn die kleineren, die abends schließen, hätten mildere Mittel zur Verfügung, um Inkassosicherheit zu gewährleisten. Dort seien auch die Betrugsanreize und Betrugsmöglichkeiten niedriger.

Bitte wenden

Gewiss gibt es Technologien, die, wenn schon keine anonyme Nutzung der Parkhäuser möglich ist, wenigstens eine zuverlässige Anonymisierung der Kennzeichenerfassung ermöglichen. Dass Anonymisierung bei großen Datenmengen ein Mythos sei, schrieb kürzlich der Oxford-Professor und Mitglied des Digitalrates, Viktor Mayer-Schönberger, sei… ein Mythos. Gerade bei Analysen der Verkehrsströme kann auf die Pseudonymisierung zurückgegriffen werden. Das gilt für aggregierte Daten, aber auch für Echtzeit-Pseudonymisierung. Ein Vorbild ist das in mehreren niederländischen Städten zur Optimierung der Verkehrsflüsse bzw. zur Einrichtung von Umweltzonen eingesetzte System Viacryp, das zwar Kennzeichen erfasst, aber nicht im Klartext. Gerade große Unternehmen und große Auftraggeber, wie der Staat, haben den Vorteil, in neue datenschutzfördernde Technologien zu investieren und diese dann als Quasistandards etablieren zu können, wovon nicht nur die kleineren, nicht so finanzstarken Unternehmen, aber auch Bürger profitieren würden.

Nicht auszudenken, wie viel Forschung und Innovation man aus einer Geldbuße von vier Prozent des Jahresumsatzes eines großen Konzerns anschieben könnte, die letztendlich der ganzen Gesellschaft zugutekommen würden. Abgesehen vielleicht von der naheliegendsten Methode, die „Betrugsanreize“ zu senken, nämlich die Ticketpreise für das sündhaft teure Parken auf den Flughäfen zu senken. Womit die Parkhäuserbetreiber zwar weniger reich werden würden, dafür aber ihre Kunden weniger arm und immer noch im Besitz ihrer Freiheiten wären. Bei der Durchführung der Verkehrsstromanalysen in den Niederlanden werden die Daten pseudonymisiert, damit der Datenschutz der Fahrzeuglenker gewahrt wird. Für die Entscheidungsfreiheit der Parkhausnutzer sei dagegen mit frühzeitiger Information gesorgt: „Idealerweise sollte dann eine Wendemöglichkeit bestehen.“

Datenschutzrechtliche Bedenken

Facebooks Anfragen bei den Banken, kommentierte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg auf Twitter, entspräche der Logik „sozialer“ Medien: „Wir wollen Dich noch besser kennenlernen, um Dir persönliche Dienste anbieten zu können. Kontostand, Gesundheitsdaten, Beziehungsstatus …“ Und empfahl, die Grenze zu Facebook selbst zu ziehen. Die Logik, wann das Geschäftsmodell eines Unternehmens bei den Aufsichtsbehörden keine datenschutzrechtlichen Bedenken weckt, scheint – der Argumentation der Landesbeauftragten für Datenschutz im Fall der Videoüberwachung in Parkhäusern folgend – im Wesentlichen davon abzuhängen, wie groß der Geldsack ist, den die Unternehmen in die Waagschale der Interessenabwägung werfen.

Man dürfte sich als Facebook oder Google schon die berechtigte Frage stellen, warum man beispielsweise die Kontodaten der Nutzer nicht bekommen sollte, wenn doch in Deutschland Parkhäuser Autokennzeichen sammeln und verarbeiten dürfen, ohne dass „datenschutzrechtliche Bedenken“ bestehen. Nur die großen, wohlgemerkt. Die Ersparnisse der Banken, wenn sie das eine oder das andere Callcenter schließen, weil Kunden auf Messenger umschwenken statt anzurufen, dürfte um ein Vielfaches das toppen, was die Umsatzeinbußen der Flughafenparkhäuser wegen verlorener oder unbezahlter Tickets ausmachen.

Themen wie Big Data oder Massendatenanalysen sind hochpolitisch, wie Prof. Jürgen Pfeffer bemerkte, dabei sei es wichtig, dass der Regulierer erkenne, dass es um Konsumentenschutz geht. Die SPD-Vorsitzende Andrea Nahles möchte die Techkonzerne verpflichten, Daten zu teilen, um den Fortschritt anzukurbeln. Auch wenn es sich erstmals nicht danach anhört, dass weniger statt mehr Daten von den Unternehmen gesammelt oder verarbeitet werden, ist es ein interessanter Vorschlag. Doch um Ideen wie diese effektiv und vertrauenswürdig umzusetzen, sollte die Politik zuerst ein viel größeres Problem lösen, schrieb Evgeny Morozov – das sinkende Vertrauen der Bürger in den Staat als Garant ihrer Interessen. Und die Lösung dieses Problems sollte am besten schnell und radikal sein.

Lesen Sie auch die neuste Kolumne von Aleksandra Sowa: Der gute Bürger

Leserbriefe

comments powered by Disqus

Mehr zum Thema: Digitalisierung, Datensicherheit, Big-data

Kolumne

Medium_2c39e622cc
von Stefan Groß
16.11.2018

Debatte

Die Armut in Deutschland wächst rasant

Medium_afdec3b36a

200 Milliardäre tun einer Gesellschaft nicht gut

"Was zeigt ein Blick auf die letzten Jahre dieses reichen Landes? Es gibt auf der einen Seite steigende Vermögen und auf der anderen Seite millionenfache Armut. Es tut einer Gesellschaft nicht gut,... weiterlesen

Medium_e004f53d02
von Dietmar Bartsch
15.11.2018

Debatte

Digitales Deutschland mit Kramp-Karrenbauer

Medium_fa0f409420

Ist Spahn ein Mini-Merz?

Annegret Kramp-Karrenbauer wird im Rennen um den CDU-Vorsitz immer selbstbewußter. Im Berliner Townhall-Gespräch mit dem Verleger Wolfram Weimer wehrt sie das Etikett „Mini-Merkel“ entrüstet ab: „... weiterlesen

Medium_8064503704
von Florian Spichalsky
13.11.2018
meistgelesen / meistkommentiert