Datenschutz (I) - Missverständnisse

It's a maexotic world ...


Wenn ich mit Leuten spreche, die nicht so internet-, daten-, computer- oder technikaffin sind, stelle ich immer wieder fest, dass sich in Bezug auf Datenschutz riesige Klüfte auftun, vor allem im gegenseitigen Verständnis. Dies wird klar, wenn (wie immer irgendwann) der Satz fällt: "Ich habe nichts zu verbergen". Eine naheliegende Reaktion ist es ihnen eine Liste, wie diese von Frau B. "Nichts zu verbergen", entgegenzuhalten. So eine Liste offenbart aber nur die Kluft, die dazwischen liegt, und ist nur begrenzt förderlich für die Diskussion. Warum? Dazu sollte man sich die beiden Seiten etwas genauer betrachten.

Die "nichts zu verbergen"-Leute

Für die "nichts zu verbergen"-Leute ist solch eine Liste kein Widerspruch. Was wir Geeks (oder wie auch immer man das nennen mag) vom eher idealistisch-kritischen Ansatz her vergessen ist, dass Datenschutz für die normalen Menschen sehr viel mit Vertrauen und Wahrnehmung zu tun hat.

Wahrnehmung ist für sie gleichbedeutend mit Realität und das ist jemand,

  • der durch das Fenster glotzt
  • der ihnen auf die Terrasse glotzt
  • der sie in der öffentlichen Dusche anglotzt
  • der ihr Tagebuch liest
  • der, ganz generell, in privaten Dingen stöbert
  • der ihnen am Bankautomaten über die Schulter sieht

prinzipiell also jemand der ihr unmittelbares Gefühl von sozialem Abstand und Privatsphäre verletzt.

Begründet liegt dies im Vertrauen zu und Umgang mit anderen Menschen:

  • was denken Menschen von mir, mit denen ich tagtäglich zu tun habe
  • ich will nicht, dass über mich getratscht wird
  • ich will Einbrechern keinen Anreiz bieten
  • ich will mich nicht lächerlich machen
  • ich will nicht ausgeraubt werden oder mein Konto geplündert haben

Bei all diesen Dingen besteht eine direkte, völlig unabstrakte Verbindung in der Wahrnehmung.
Dazu kommt, dass bei vielen "der Staat" als prinzipiell gut eingestuft wird (was ja eine korrekte Annahme sein soll(te)). Der Staat schützt die Bürger und die Bürger leisten einen Beitrag zum Staat, und damit es für alle gerecht zugeht, muss der Staat eben ein bisschen genauer hinsehen dürfen.

Soweit geht auch die Aussage "Ich habe nichts zu verbergen" in Richtung Staat gedacht voll in Ordnung. Oft übertragen sie diese Art von Vertrauen auch auf andere, als (historisch) seriös eingestufte Institutionen wie Banken, Versicherungen, Telefongesellschaften, Verkehrsunternehmen, ... Leider hat sich in den letzten Jahren durch Privatisierung und Konkurrenzunternehmen und damit Preisdruck vieles verändert, so dass dieses Vertrauen nicht mehr immer gerechtfertigt ist.

Der Schutz ihrer Daten ist für sie jedoch eine recht abstrakte Sache, dessen Absenz sie momentan hauptsächlich dadurch wahrnehmen, dass ihr Briefkasten mit Werbung zugeschüttet wird, oder sie sich über Telefonspammer ärgern müssen.

Die "Geeks"

Die Geeks (ich behalte diesen Terminus einfach bei) funktionieren anders. Für die meisten gibt es eine recht einfache und klare Sicht der Dinge:

  • Die Wahrnehmung macht keinen Unterschied. Daten sind Daten und sind abstrakt zu betrachten
  • Vertrauen gibt es nicht als Vorschuss; es muss verdient sein, ist aber trotzdem ständig weiterhin zu hinterfragen

Dies gilt erst einmal für alles und jeden und damit (gerade) auch für den Staat, der am meisten sammelt und am tiefsten in in das Grundrecht auf informationelle Selbstbestimmung eingreift. Damit wird klar, wo die Gegensätze liegen.

Annäherung

Dieses Missverständnis ist aber nur auf den ersten Blick wirklich eines und es dient der Annäherung, wenn man den Datenschutz auf einen eher technischen Standpunkt abstrahiert, denn eine Diskussion über Wahrnehmung und Vertrauen wird immer zum Scheitern verurteilt sein.

Das Wort Datenschutz enthält eine ganz wichtige Aussage: den Schutz der Daten. Damit steht und fällt alles und das ist keine Frage der Wahrnehmung oder des Vertrauens, hier zählen Fakten.

Die Fakten sind aber nun mal:

  • Wir sind von einem effektiven Schutz der Daten weit entfernt. Sowohl technisch als auch organisatorisch kenne ich kein Unternehmen oder keine Organisation - auch nicht den Staat - die einen 100%igen Schutz der Daten gewährleisten können. Der Datenschutz ist auch dann relevant, wenn man von einer absoluten Vertrauenbasis ausgeht. Es gibt genügend Beispiele dafür, dass der Schutz der Daten nicht funktioniert hat, obwohl kein Missbrauch beabsichtigt war, sondern "nur" technische oder organisatorische Gründe dazu geführt haben. Ein aktuelles, anschauliches Beispiel ist der "Fall Libri", aufgedeckt von netzpolitik.org. Siehe hierzu die Artikel "Exklusiv: Die Bücher der Anderen" und "Exklusiv: Die Libri-Shops der Anderen" auch bei heise.de zu lesen " Libri lässt Kundenrechnungen offen im Netz liegen" und " Datenleck bei Libri zieht weitere Kreise".

  • Dem Datenschutz stehen immer wirtschaftliche Interessen entgegen, sowohl von Einzelpersonen als auch von Unternehmen. Profildaten per se sind wertvoll. Aufgaben lassen sich (kostengünstiger) von Drittanbietern erbringen, dafür müssen die Daten weitergegeben werden. Im Falle eines Dienstleisters für Postaussendungen muss dieser Adressdaten haben. Alleine diese sind für andere Unternehmen der gleichen Branche schon wertvoll, z.B. für eine Kundenakquise. Ein kleines "Kavaliersdelikt" und schon wechselt eine Kopie der Adreßdaten den Besitzer, erstellt durch einen Mitarbeiter des Dienstleisters für eine finanzielle Anerkennung.
    Dass eine derartige Weitergabe der Daten wirklich passiert, auch bei grossen Unternehmen wie der Postbank, zeigt das Ergebnis einer aktuellen Untersuchung der Stiftung Warentest: "Datenmissbrauch bei der Postbank:Systematische Verstöße gegen den Datenschutz".

  • Direkter Mißbrauch der Daten durch Zweckentfremdung. Ein anschauliches Beispiel hierfür ist die hart geführte Diskussion um die Daten von Toll Collect. Sollen Daten, die nur für die Verkehrauskommensabrechnung erhoben wurden, dafür genutzt werden, um Ermittlung und Strafverfolgung zu ermöglichen. Im Mautgesetz (PDF via juris.de) wurde explizit eine Zweckbindung des Systems auf die Mauterhebung festgelegt, damit eben gerade keine Bewegungsprofile und Rasterfahndungen erstellt und durchgeführt werden können:

    § 7 Kontrolle (2)
    Diese Daten dürfen ausschließlich zum Zweck der Überwachung der Einhaltung der Vorschriften dieses Gesetzes verarbeitet und genutzt werden. Eine Übermittlung, Nutzung oder Beschlagnahme dieser Daten nach anderen Rechtsvorschriften ist unzulässig.

    Auch wenn die Thematik an sich Platz für Diskussion läßt, zeigt es doch, dass Daten aus einem Grund erhoben werden, dann jedoch für einen grundsätzlich ganz anderen Zweck verwendet werden können, auf den man plötzlich keinen Einfluß mehr hat, denn die Daten sind schon weggegeben. Hätte man über die Umwidmung vorher Bescheid gewusst, hätte man sie ja vielleicht nicht zur Verfügung gestellt.
    Ein anderes, heiß diskutiertes Thema in diesem Bereich, sind Genanalysen. Diese können helfen Krankheiten frühzeitg zu erkennen und erhöhen damit die Heilungschancen. Was aber, wenn diese Daten von Krankenkassen verwendet werden, um die Beiträge zu steuern? Anders als bei der Klassifikation bei beispielweise Rauchern oder Übergewichtigen, hat man selbst keinen Einfluss auf seine Gene und kann diese durch eine (zumutbare) Änderung seines Verhaltens auch nicht beeinflussen. Kriege ich keinen Job, weil meine Genanalyse sagt, dass ich im Durchschnitt im Jahr 5 Tage öfter krank sein werde als der Durchschnitt? Bleibt dann die soziale Gerechtigkeit auf der Strecke? Ganz sicher!

  • Eine Umwidmung der Daten tritt auch im Falle von Datendiebstahl ein. Daten, die zum Zwecke der Strafverfolgung unter Aussetzung der Unschuldsvermutung gesammelt wurden, gehen ganz schnell nach hinten los, wenn sie von Kriminellen gestohlen oder illegal gegen Geld an diese weitergegeben werden. Man denke nur an einen vorgeblich seriösen Familienvater, dessen Handydaten-Bewegungsmuster ergibt, dass er jede Woche einmal in der Mittagspause für 30 Minuten im Rotlichtviertel unterwegs ist.
    In direkterer Form gilt das, wenn Kontoinformationen in den gestohlenen Datensätzen enthalten sind. Dann werden diese Daten nicht mehr herangezogen um monatliche Abschlagszahlung, etwa für Gas und Strom, abzubuchen, dann buchen sich Kriminelle das Geld auf ihre eigenen Konten: "Verbraucherzentrale: Massenhafter Missbrauch von Bankkonten-Daten".

  • Je mehr Daten zu einer Person und je zentraler diese Daten gespeichert sind, desto attraktiver wird es diese Datensammlungen zu missbrauchen, für alle, nicht nur für Kriminelle. Je grösser diese Sammlungen sind, desto grösser ist der GAU, im Falle eines unberechtigten Zugriffs. Je lukrativer der Missbrauch und missbräuchliche Zugriff auf derlei Daten für Kriminelle wird, mit desto mehr Nachdruck werden sie versuchen, an derartige Daten zu gelangen.
    Eine Strategie zum Schutz der Daten ist also, sie möglichst dezentral zu speichern und zu verwalten, d.h. keine zentralen Sammeldateien anzulegen.

Der sicherste Schutz der Daten ist jedoch, sie erst gar nicht zu erheben oder bereit zu stellen. Das ist ein Faktum. Sicher ist es bei manchen Vorgängen um einiges leichter, wenn die Daten existieren, aber man muss immer die Vor- und die Nachteile abwägen. Darüber kann man dann wieder herzhaft diskutieren, wenn man die Vor- und Nachteile kennt.

Zweiter Teil: Datenschutz (II) - Nimmersatte




Comments