Datenschutz ist für die meisten ein nerviges und langweiliges Thema. Was interessiert es mich ob Amazon weiß, dass ich mir eventuell Birkenstock Sandalen kaufen möchte. Im Gegenteil, es kann ja interessant für mich sein, wenn ich personalisierte Werbeanzeigen und Angebote bekomme, dann spare ich mir das ganze Suchen. So denken viele, die vielleicht einen schönen Bikini suchen, gewiss aber keine juristischen Abhandlungen über Cookie-Einstellungen. Viele Menschen wollen sich nicht so viele Gedanken über Datenschutz machen. Und das ist auch okay so. Aber es wäre gut, wenn diese Entscheidung bewusst getroffen wird. Also mit dem Wissen, was wir alles über uns preisgeben, wer davon das große Geld macht und was für Konsequenzen das für mich haben kann.
Was ist Datenschutz und warum ist Datenschutz wichtig?
Jedes Mal, wenn wir online surfen, hinterlassen wir Spuren. Welche Werbungen wir interessant finden, welche Ferienziele wir ansteuern oder welche Humoristen wir besonders lustig finden. Diese Daten werden folgendermaßen gesammelt: Wenn wir eine Webseite besuchen werden kleine Textdateien, auch Cookies genannt, in unseren Browsern installiert. Manche sind nötig für technische Zwecke, wie zum Beispiel unser Standort, damit Betreiber von Webseiten uns die richtige Sprachversion anbieten können. Oftmals erlauben Betreiber von Webseiten jedoch auch anderen Unternehmen, auch „dritte Parteien“ genannt, Cookies zu installieren die unser Verhalten analysieren.
So wird aus riesigen Datenmengen ein umfassendes digitales Profil von allen Internetnutzer/-innen zusammengesetzt, das laufend aktualisiert und in den Datenbanken von großen Unternehmen gespeichert wird. Diese Daten sind zum Teil sehr intim und können unter anderem folgendes umfassen: unsere Namen, Alter, Geschlecht, Standort, email-Adresse, unsere Such- und Bestellhistorie, aufgerufene Artikel, Videos und Filme, unsere Soziale-Medien Aktivität, Konsultationen beim Psychologen, Informationen über unsere Gesundheit, Bildungstand, finanzielle Situation, politische Orientierung, unser Sexualverhalten und vieles mehr.
Unternehmen können dein Profil aufrufen, sich anhand der vorliegenden Daten ein (oft unpräzises) Bild von dir machen und sogar versuchen, dich zu manipulieren. Durch gezielte Werbung zum Beispiel. Aber es gibt auch andere Risiken. Versicherungsunternehmen könnten dir zum Beispiel aufgrund deiner Krankheitshistorie die günstigeren Tarife verweigern. Banken könnten dich als zahlungsunfähig einstufen und dir einen Kredit verbieten, nur weil du in einem prekären Stadtteil wohnst. Politiker könnten dir gezielte politische Werbung schicken, um dein Wahlverhalten zu beeinflussen – erinnern wir uns an den Cambridge Analytica Skandal, wo ein Unternehmen durch das Sammeln und Analysieren von Daten von Facebook-Profilen von US-Wählern Trump zum Sieg verholfen hat. In Ländern mit weniger liberalen Ansichten könnten Minderheiten, wie zum Beispiel LGBTQ-Personen, sich in Gefahr versetzen.
Deshalb müssen unsere Daten durch Regeln und Gesetze geschützt werden. Datenschutz heißt also nicht nur Schutz vor dem Sammeln und Missbrauch unserer Daten, sondern auch Schutz vor Manipulation, Benachteiligung und Diskriminierung.
Was sagt das DSGVO?
Nach jahrelangen Debatten und Verhandlungen zwischen Akteuren aus dem privaten Sektor, aus der Zivilgesellschaft und politischen Entscheidungsträger/-innen in der ganzen EU trat die Datenschutz-Grundverordnung (DSGVO) am 25 Mai 2016 in Kraft. Sie galt jedoch erst ab dem 25 Mai 2018 – mit einer zwei jährigen Schonungsfrist wollte die EU den Unternehmen Zeit geben, die neuen Regeln umzusetzen. Seither müssen Unternehmen die Nutzer/-innen darüber informieren, dass ihre Daten gesammelt werden und ihnen die Möglichkeit geben, diese zu begrenzen.
Die DSGVO ist das strengste Datenschutzgesetz der Welt. Sie kann in drei Hauptpunkte eingeteilt werden: mehr Transparenz, Selbstbestimmung und eine stärkere Durchsetzung.
- Mehr Transparenz: Verbraucher/-innen haben ein Recht auf Auskunft. Unternehmen sind rechtlich verpflichtet, auf Aufforderung offenzulegen, welche Daten sie über uns speichern. Weiter verpflichtet die DSGVO Unternehmen, die Verbraucher/-innen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Artikel 12) über die Nutzung unserer Daten zu informieren. Das dürfte das Ende der endlos langen "Allgemeinen Geschäftsbedingungen" (AGBs) bedeuten, die sowieso niemand liest.
- Mehr Selbstbestimmung: die DSGVO gibt uns mehr Kontrolle über unsere Daten. Zum Beispiel haben wir das Recht aufs Vergessenwerden. Wenn es keinen Grund gibt, unsere Daten zu speichern, dann müssen die Unternehmen auf unseren Wunsch hin unsere Daten löschen. Außerdem gibt die DSGVO Unternehmen vor, datenschutzfreundlichere Voreinstellungen zu bieten, auch bekannt unter privacy by default: Betreiber einer Webseite dürfen nur das Minimum an Daten von Besucher/-innen sammeln, es sei denn sie haben die ausdrückliche Einwilligung der Nutzer/-innen. Viele Unternehmen haben durch Cookie-Banner die Einwilligung von Internetnutzer/-innen quasi forciert, in dem das „Akzeptieren“ von Datensammlung deutlich einfacher war als „Verweigern“. Die belgische Datenschutzbehörde hat hierzu, in Absprache mit anderen europäischen Datenschutzbehörden, Anfang Februar 2022 Stellung genommen und diese Nutzung von Cookie-Bannern für illegal erklärt, was weitreichende Folgen für die Werbeindustrie haben könnte.
- Stärkere Durchsetzung: die DSGVO stärkt auch die Durchsetzung des Datenschutzrechtes. Datenschutzbehörden können nun deutlich höhere Bußgelder erlassen: bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens. Es gilt auch das Marktortprinzip: die DSGVO gilt für alle Unternehmen, die Dienstleistungen im europäischen Markt anbieten, auch wenn sie keinen Sitz in der EU haben. Die bisherige Rekordbußstrafe wurde von der luxemburgischen Datenschutzbehörde gegen Amazon verhängt: insgesamt 746 Millionen Euro soll der Tech-Riese wegen missbräuchlichem Online-Targeting zahlen. Ob dies wirklich passiert ist noch offen.
In Deutschland gibt es in jedem Bundesland eine Datenschutzbehörde. Sie überwachen die Einhaltung der Datenschutzgesetze und sind verantwortlich für die Bearbeitung von Beschwerden von Privatpersonen und Organisationen. Diese Behörden arbeiten auch eng mit der Europäischen Datenschutzbeauftragten (EDSB) und anderen nationalen Datenschutzbehörden zusammen. Liberties hat mit Partnerorganisationen schon mehrfach gegen Verstöße der DSGVO bei Datenschutzbehörden geklagt: in 2020, gegen die illegale Datenauswertung in populären Apps zum Beispiel, oder in 2019, gegen den Datenmissbrauch der Werbeindustrie.
Datenschutz in der Welt
Wie schon erwähnt ist die DSGVO die strengste Datenschutzverordnung der Welt. Aber auch in anderen Ländern wurden in letzten Jahren Gesetze verabschiedet, um die Daten von Bürger/-innen zu schützen. In China zum Beispiel gilt seit November ein neues Datenschutzgesetz, das wie die DSGVO Datenminimierung und Zweckbindung vorsieht. Auch dieses Gesetz gibtInternetnutzer/-innen mehr Recht auf Selbstbestimmung und Kontrolle über ihre Daten. Doch sind nur die Unternehmen an diese Regeln gebunden; der Staat kann die Menschen weiterhin ungehindert überwachen.
In den USA gibt es kein übergreifendes Datenschutzgesetz wie die DSGVO. Unternehmen halten sich an branchenspezifische Regeln, aber die Behörden haben deutlich mehr Befugnisse als in der EU, vor allen Dingen seit Inkrafttreten des Patriot Act nach den Anschlägen vom 11 September 2001. Die Sicherheitsbehörden können personenbezogene Daten ohne richterliche Anordnung abgreifen. Auch in Indien oder Russland haben Sicherheitsbehörden und Geheimdienste in vielen Bereichen uneingeschränkten Zugang zu den Daten von Internetnutzer/-innen. Neue Bereiche kommen oft hinzu, natürlich ohne Einwilligung der Nutzer/-innen. Oft wird dies mit den Interessen der nationalen Sicherheit und Terrorismusbekämpfung begründet.