Die europäische Justizkommissarin Juliane Reding arbeitet seit einige Zeit an einem Entwurf für eine Europäische Datenschutzverordnung. Einen ersten Draft kann man hier runterladen, Anna Sauerbrey, fasst die Eckpunkte allerdings dankbarerweise hier zusammen.
Nun ist eine Homogenisierung der gesetzlichen Lage absolut begrüßenswert, wenn nicht sogar notwendig in einem immer stärker zusammenwachsenden Europa: Die unterschiedlichen gesetzlichen Rahmenbedingungen machen es sowohl für kommerzielle Anbieter als auch für die Nutzer schwer, sich gegenseitig zu verstehen und gerecht zu werden. Oder wer hier aus Deutschland weiß eigentlich genau wie die österreichischen Datenschutzbestimmungen aussehen und was das für ihn oder sie beim Nutzen österreichischer Dienste bedeutet?
Doch leider stößt Frau Reding sehr schnell an genau dieselben Grenzen, an die die nationalstaatsbasierte Politik beim Umgang mit dem Internet schon so oft gestoßen ist. Obendrauf gibts dann noch ein paar generelle Fails, die wir auch im Folgenden betrachten wollen.
(Die folgenden Zitate entstammen Anna Sauerbrey’s Artikel.)
“Vorgesehen ist, dass das europäische Recht auch dann gelten soll, wenn ein Unternehmen seinen Sitz außerhalb der EU hat, seine Angebote und Aktivitäten sich aber an europäische Verbraucher richten, etwa indem sie die Zahlung in Euro anbieten oder Seiten in europäischen Landessprachen.”
Das Problem, welches hier gelöst werden soll ist ein altes und eines, an dem wir schon häufig standen: Welche Datenschutzgesetze gelten eigentlich, gerade, wenn ich beispielsweise als Europäer mit einer amerikanischen Firma einen Deal mache? Frau Reding wählt den hack über die Adressierung: Wenn die Zahlung in Euro angeboten wird oder die Seiten in Europäischen Landessprachen sind, dann gilt das Europäische Recht. Das klingt erstmal ganz griffig, doch bei kurzen Nachdenken werde ich stutzig. Sicherlich gibt es Unterschiede zwischen amerikanischem und britischem Englisch, doch sind die trennscharf genug um bei einer englischen Seite festhalten zu können, welche Datenschutzgesetzgebung gilt? Spricht Brasilien nicht auch Portugisisch und der Rest Südamerikas Spanisch? Bis auf einige Bereiche in Asien und Afrika fällt es mir schwer, Orte auf der Welt zu finden, in denen keine europäische Landessprache gesprochen wird (Konsequenz der europäischen Invasionsgeschichte).
Dieser Ansatz masst sich also entweder an, auf großen nichteuropäischen Teilen der Welt Gesetze machen zu dürfen (was sich mit dieser Demokratie und Staatssouveränität ja nun so gar nicht mehr vereinbahren lässt) oder ist dermaßen Gummi, dass man sich im Zweifelsfall nicht drauf zurückziehen kann. Wieder mal ein Ansatz, der irgendwie gut klingt und europäische Befindlichkeiten aufgreift, in der Realität aber keine Durchsetzungsfähigkeit besitzt.
“Die Verbraucher sollen das Recht auf eine Kopie ihrer sämtlichen Daten in elektronischer Form erhalten. So wäre es möglich, den Anbieter zu wechseln und das eigene “Profil” ohne Verluste mitzunehmen.”
Auch wieder ein Ansatz, den man zwar so aufschreiben kann, der dadurch aber noch lange nicht umsetzbar wird. Denn was genau habe ich denn davon, wenn mir Facebook nen Datendump gibt? Einen großen Blob aus IDs und ein paar Textfetzen von mir. Dann korrekterweise kann Facebook mir ja nicht die Daten meiner Freude geben, denn das sind ja deren Daten. Und so bin ich dann mit 11663714112837213 befreundet und 149724238421, die natürlich in keinem anderen Netzwerk auf der Welt dieselben IDs haben. Die Portabilität, die hier proklamiert wird, ist eine Forderung, die theoretisch toll klingt, mit der technischen Umsetzung hingegen nichts mehr zu tun hat. Klar kann man das, wie beim Europe-vs-Facebook PR Stunt, fordern und umsetzen, man läßt aber Menschen dadurch auch nicht souveräner zurück sondern nur mit mehr Datenmüll, der ihnen kein Stück weiterhilft.
Das “Profiling” hingegen, also das Erstellen detaillierter Nutzerprofile durch soziale Netzwerke oder Online-Shopping-Anbieter wird erschwert. Gar nicht mehr erlaubt soll es in Zukunft sein, die Daten von Jugendlichen unter 18 Jahren zum “Profiling” zu verwenden.
Auch hier finden wir wieder eine Scheinlösung. Wo genau Profiling anfängt und wo es aufhört, halte ich für eine definitorische Herkulesleistung, für die uns gerade aber kein Halbgott zur Verfügung steht. Was für den einen Profiling sein mag, ist für den SysAd vielleicht auch nur eine grobe Verhaltensanalyse um den Dienst in seiner Skalierbarkeit und seinem Nutzen zu verbessern.
Ausserdem wird der Nutzen des Profilings für den Nutzer selbst mal wieder vergessen. Ich persönlich weiß es sehr zu schätzen, dass Amazon mir Artikel vorschlägt, die mich interessieren könnten statt – wie die Fernsehwerbung – auf sexistischen Annahmen wie “der ist Mann, der mag Bier, Fussball und Autos” aufzusetzen. Wir gehen vom mündigen Bürger aus, vom mündigen Kunden, aber sobald Profiling betrieben wird um dem Kunden bessere Angebote zu machen, wird von Datenschützerseite so getan, als wären wir alle nur unreflektiertes Klickvieh.
Und warum ein junger Mensch in der Ausbildung mit 16 solche Vorteile nicht für sich nutzen darf, will sich mir auch nicht erschließen.
Sicherlich ist Profiling, gerade wenn es intransparent stattfindet, manchmal problematisch, gerade wenn der Kunde plötzlich in einer schublade klassifiziert wird, in die er/sie sich selbst nicht einordnen würde, aber gerade die großen Player wie Amazon leben davon, dass ich jeden Vorschlag verstehen kann (“sie sehen dieses Angebot, weil Sie X kauften”) und ich direkt eingreifen kann (“das Dingsi, was ich als Geschenk für meine Nichte kaufte ignorieren”).
Die Verbraucher erhalten außerdem das Recht, “vergessen zu werden”, also das Recht darauf, dass ihre Daten gelöscht werden, wenn der Grund für die Speicherung erlischt.
Das gute alte Recht auf Vergessen, kein Text mehr ohne dieses mytische Recht (es entwickelt sich mehr und mehr zum Datenschutz-Äquivalent des “Internet darf kein rechtsfreier Raum sein” Memes). Zu diesem Recht wurde schon viel gesagt, auch Anna Sauerbrey selbst merkt viele der Probleme an (zum Beispiel, dass der Anbieter plötzlich in den Daten Fremder rumlöschen und editieren muss, um mich komplett zu vergessen). Doch auch ganz schlichte technische Probleme entstehen hier: Jeder verlässliche Dienst schreibt Backups, um einen zu einem bestimmten Zeitpunkt als valide bekannten Zustand zu fixieren. Müsste mich der Anbieter dann auch aus allen Backups löschen? Neben der technischen Komplexität dieser Aufgabe (die ja die Integrität der Backups, die die Daten aller Nutzer sichern sollen, nicht verletzen darf), hat dann der Anbieter später ne Menge neuer Probleme: Ich nutze Facebook, um urheberrechtlich geschützte Texte zu verbreiten. Dann lösche ich mein Profil und Facebook muss alle Zeugnisse meiner Existenz löschen. Wie können denn jetzt die armen Rechteverwerter mich belangen? Alle Beweise meiner Straftaten sind hinfort.
Generell dürfen Daten nicht länger gespeichert werden als unbedingt nötig.
Wer definiert denn die Notwendigkeit? Wer legt fest, was nicht mehr notwendig ist? Auch hier wieder: Was ist eigentlich mit Backups?
Anbieter werden verpflichtet, die datensparsamste Einstellung zur Voreinstellung zu machen (privacy by default) und bei neuen Technologien Gefahren für den Datenschutz bereits in der Entwicklungsphase zu berücksichtigen (privacy by design).
Ich halte “privacy by default” zwar auch für einen Holzweg, aber das kann man meiner Einschätzung nach schon fordern ohne zu viel kaputt zu machen, die meisten Nutzer werden das dann binnen Kürze offener einstellen, um Dienste überhaupt sinnvoll nutzen zu können.
Doch “privacy by design” ist wieder ein gutes Beispiel für klingt gut und ist gut gemeint, hat aber keinen Wert: Technikfolgenabschätzung ist keineswegs immer trivial (bei der Erfindung des WWWs hatten die Ingenieure sich beispielsweise auch nicht träumen lassen, dass Menschen darüber irgendwann ihr Leben verdaten), und ich kann letzten Endes immer sagen: “Jau, wir haben drüber nachgedacht”. Ich halte diese Forderung für nicht durchsetzbar.
Fazit
Insgesamt ist dieser Entwurf sicherlich für viele deutsche Datenschützer ein großer Wurf. Alle bekannten Datenschutzmeme wurden untergebracht und der Text strotzt nur vor gut gemeinten Forderungen. Leider sind sie zum übermäßigen Teil nicht durchsetzbar und realitätsfern, so dass letzten Endes für den Nutzer kein Mehrwert entsteht.
Ich würde mir wünschen, dass beim Entwurf solcher Verordnungen auch Menschen beteiligt werden, die mit der technischen Umsetzung von sozialen Netzwerken und online Shops zu tun hatten, so dass zumindest die vollständig nichtumsetzbaren Forderungen gestrichen werden können.
