Interview 29. Dezember 2012 von Alexander Wragge

Datenschützer Peter Schaar: „Wir müssen wachsam sein“

Mit Sorge verfolgt der Bundesdatenschutzbeauftragte Peter Schaar den Trend, Nutzerdaten zu aggregieren, zu analysieren und kommerziell zu verwerten. Schaar warnt vor beschönigenden Nutzungsbedingungen und fordert, Daten europäischer Bürger auch außerhalb der EU schützen.

iRights.info: Was waren für Sie 2012 die wichtigsten Themen beim Thema Datenschutz im Internet?

Peter Schaar: Es gab eine ganze Reihe von Vorfällen, die ich unter dem Stichwort Profilbildung zusammenfassen würde. Der Trend, Nutzerdaten zu aggregieren und zu vielfältigen Zwecken zu analysieren, wird sich im kommenden Jahr fortsetzen. Da bin ich mir sehr sicher.

iRights.info: Haben Sie Beispiele?

Peter Schaar: Nicht nur Google und Facebook sind bei der Frage der Profildung im Visier der Daten- und Verbraucherschützer. Inakzeptabel war zum Beispiel der Fall des sozialen Netzwerks Couchsurfing. Die Übernachtungsplattform startete zunächst als nicht-kommerzielles Projekt und hat sich nun Geschäftsbedingungen gegeben, die nach deutschem und europäischem Datenschutzrecht unzulässig sind. Die Nutzerinnen und Nutzer werden durch die neuen Geschäftsbedingungen genötigt, auf jegliche Kontrolle über ihre Daten zu verzichten, sofern sie den Dienst weiter in Anspruch nehmen wollen.

Ein weiterer Fall war die Schufa, die Auskunft zur Kreditwürdigkeit der Verbraucher gibt. Die Schufa plante, zur Bonitätsbewertung auch Daten aus sozialen Netzwerken hinzuzuziehen. Erst nach breiter öffentlicher Kritik zog die Schufa das Projekt zurück. Dann hatten wir die Diskussion darüber, ob die spanische Telefongesellschaft Telefonica die Bewegungsdaten ihrer Kunden auch kommerziell nutzen und an Dritte verkaufen kann. Sie ist nun davon abgerückt. Die Fälle zeigen, wir müssen wachsam sein.

iRights.info: Nun könnte der Nutzer kostenlose Dienste gewissermaßen mit seinen Daten bezahlen. Wo liegen die Grenzen?

Peter Schaar: Der Diensteanbieter muss transparent machen, was mit den personenbezogenen Daten passiert. Zudem muss er dies in einer nutzerfreundlichen, alsoverständlichen Form tun. Nur dann kann von einer echten Einwilligung des Nutzers gesprochen werden. In der Praxis sehe ich häufig unzureichende Beispiele: Da wird die Datennutzung mit beschönigenden und verschleiernden Begriffen beschrieben, nach dem Motto „Sie willigen ein, dass Daten zur Nutzung der Optimierung des Dienstes verwendet werden“. Hier weiß der Nutzer weder, welche Daten erhoben, noch für welche konkreten Zwecke sie verwendet werden sollen.

Lobby-Einflüsterungen nicht nachgeben

iRights.info: Über mein Profil im sozialen Netzwerk oder mein E-Konto kann mein Leben transparent gemacht werden. Welche Profildaten dürfen die Anbieter verkaufen?

Peter Schaar: Gar keine, jedenfalls soweit keine ausdrückliche Einwilligung der Nutzer vorliegt. Auch die Geschäftsmodelle von Google und Facebook basieren im Übrigen nicht auf dem Verkauf von Nutzerdaten. Vielmehr schalten sie auf Grundlage der Nutzerpräferenzen Werbeanzeigen, behalten das personifizierte Profil aber für sich. Aber auch für derartige Profilbildungen brauchen wir klare gesetzliche Grenzen. Insgesamt müssen die Rechte der Nutzerinnen und Nutzer gestärkt werden.

iRights.info: Wie?

Peter Schaar: Sicherlich mit der EU-Datenschutzverordnung, deren Entwurf die EU-Kommission im Januar vorgelegt hat. Ein europaweit auf hohem Niveau harmonisiertes Datenschutzrecht ist die richtige Antwort auf die grenzüberschreitenden Internetdienste. Besonders wichtig ist hierbei, dass europäisches Datenschutzrecht künftig gilt, sobald sich ein Unternehmen an Nutzerinnen und Nutzer in Europa wendet. Da muss die Kommission hart bleiben und sich nicht von massiven Lobby-Einflüsterungen der großen Internetkonzerne beeindrucken lassen.

iRights.info: Warum ist dieses neue Prinzip im Umgang mit Drittländern wichtig?

Peter Schaar: Die Lage ist heute kompliziert. Das sogenannte Cloud Computing, zu dem auch die sozialen Netzwerke und E-Maildienste gehören, ist völlig ortsungebunden. Der Nutzer kann nicht sicher sein, in welchem Land der Erde die Daten verarbeitet werden. Die nationalen Rechtsordnungen unterscheiden sich. Private Anbieter und öffentliche Stellen unterliegen folglich unterschiedlichen rechtlichen Vorgaben und realen Gepflogenheiten.

Im Fall Facebook gelten zum Beispiel zwei Rechtsordnungen. Die irische, weil Facebook in Europa von Irland aus operiert, und die US-amerikanische, weil dort die Daten lagern. Das führt zu massiven Konflikten und Unklarheiten. Künftig muss es so sein, dass für den EU-Nutzer in jedem Fall auch der EU-Datenschutz gilt. Sonst bleiben beim Nutzer berechtigte Ängste, dass mit seinen Daten nicht sorgsam genug umgegangen wird.

Nutzung ist kein Freibrief für Unternehmen

iRights.info: Im Zusammenhang mit der EU-Datenschutzverordnung wird auch das sogenannte „Recht auf Vergessenwerden“ kontrovers diskutiert. Kann es ein solches Recht tatsächlich geben oder muss sich der Einzelne damit abfinden, dass er nicht unbedingt kontrollieren kann, was von ihm und über ihn im Netz bleibt?

Peter Schaar: In der Diskussion ging vieles durcheinander. Die Formulierungen der EU-Kommission waren hier möglicherweise missverständlich. Tatsächlich strebt die EU-Kommission nur einen begrenzten Löschungsanspruch an, der im Grunde heute schon gilt. Daten, die unzulässigerweise gesammelt oder nicht mehr gebraucht werden, sind zu löschen. Unternehmen, die Daten an Dritte weitergegeben haben, müssen sich auch um die Löschung bei den Empfängern bemühen, wenn der Betroffene das wünscht.

Das sind alles richtige Forderungen, die Kritik daran verstehe ich nicht. Es geht nicht darum, dass der Einzelne alles aus dem Netz löschen kann, was er selbst dort hinterlassen hat oder über ihn verbreitet wird. Das wäre auch kaum möglich. Aber von Unternehmen wie sozialen Netzwerken, die von den Daten profitieren, kann der Nutzer eine Löschung erwarten, wenn er das will. Die Entscheidung, einen Dienst zu nutzen, kann doch vom Diensteanbieter nicht als Freibrief verstanden werden, die Nutzerdaten für immer zu behalten und unbegrenzt zu verwenden.

Peter Schaar

Peter Schaar ist diplomierter Volkswirt und seit 2003 Bundesbeauftragter für den Datenschutz, seit 2006 ist er auch Bundesbeauftragter für die Informationsfreiheit.

Dieses Interview wurde zuerst veröffentlicht in dem Jahresrückblick „Das Netz 2012“ von iRights. Das Heft können Sie für 14,90 EUR bei iRights.media bestellen. Sie können auch eine E-Mail mit der gewünschten Anzahl und der Versandadresse an info@irights-media.de schicken. „Das Netz 2012 – Jahresrückblick Netzpolitik“ gibt es auch als E-Book, zum Beispiel bei Amazon, beim Apple iBookstore oder bei Beam (dort auch DRM-frei).

Zum Thema bei iRights

Datenschutzexpertin: Machtgefälle zwischen Datenschutz-Aufsicht und Facebook, 28.12.2012

„Wir haben keine Kontrolle mehr über unsere Daten“, Interview mit Seda Gürses, 27.12.2012

Bundesrat: EU-Kommission soll bei Datenschutz nachbessern, 20.12.2012

Datenzugriff in der Cloud: Albrecht kritisiert fehlende Standards 19.12.2012

„Die EU und die USA sind in der Bringschuld, Standards zu setzen“. Interview mit Jan Philipp Albrecht, 19.12.2012

Cloud Computing in Behörden: „Die Identifizierung wird entscheidend sein“, 18. 12.2012

Interview mit Reinhard Posch: E-Government – Transparenz, Nutzerfreundlichkeit und Vertrauen Sicherheit in der Cloud, 18.12.2012

Datenschutz und Datenschicherheit in der Cloud

Zum Thema im Internet

Bundesdatenschutzbeauftragter (BfDI): CouchSurfing ohne Datenschutz, Pressemitteilung, 13.09.2012

Internationale Konferenz der Datenschutzbeauftragten: Uruguay-Erklärung zur Profilbildung (Englisch), 26.10.2012 (PDF, 85 KB)

Internationale Konferenz der Datenschutzbeauftragten: Resolution zum Cloud Computing (Englisch), 26.10.2012 (PDF, 90 KB)

EU-Parlament: EU-Datenschutzgrundverordnung – Übersicht zum Gesetzgebungsprozess (Englisch)

EU-Kommission: Übersicht zur Reform des Datenschutzrechts, Pressemitteilung, 25.01.2012