Schaar zum Cloud Computing: EU-Datenschutz für EU-Bürger

Der Bundesdatenschutzbeauftragte Peter Schaar fordert, das Anbieter von Internetdiensten in einer nutzerfreundlichen und verständlichen Form transparent machen, was mit personenbezogenen Daten passiert. „Nur dann kann von einer echten Einwilligung des Nutzers gesprochen werden“, erklärt Schaar im Interview mit iRights.

Hoffnung setzt Schaar auf die geplante EU-Datenschutzverordnung. Ein europaweit auf hohem Niveau harmonisiertes Datenschutzrecht sei die richtige Antwort auf die grenzüberschreitenden Internetdienste.  Die Verordnung soll unter anderem das sogenannte „Marktort-Prinzip“ durchsetzen. Demnach müssen sich alle Anbieter an EU-Datenschutzregeln halten, deren Dienste sich an EU-Bürger richten. „Da muss die EU-Kommission hart bleiben und sich nicht von massiven Lobby-Einflüsterungen der großen Internetkonzerne beeindrucken lassen“, meint Schaar.

Kritik an beschönigenden Formulierungen

Noch ist die Rechtslage bei „völlig ortsungebundenen“ Cloud-Diensten kompliziert, so Deutschlands oberster Datenschützer. Der Nutzer könne nicht sicher sein, in welchem Land der Erde die Daten verarbeitet werden, und welchen nationalen Rechtsordnungen sie unterliegen. So gelte etwa für Facebook irisches und US-amerikanisches Recht. „Das führt zu massiven Konflikten und Unklarheiten“, sagt Schaar. Künftig müsse für den EU-Nutzer in jedem Fall auch EU-Datenschutz gelten. „Sonst bleiben beim Nutzer berechtigte Ängste, dass mit seinen Daten nicht sorgsam genug umgegangen wird.“

In der Praxis sieht Schaar häufig Fälle, bei denen der Nutzer weder wisse, welche Daten erhoben, noch für welche konkreten Zwecke sie verwendet werden. So kritisiert Schaar beschönigende und verschleiernde Formulierungen wie: „Sie willigen ein, dass Daten zur Nutzung der Optimierung des Dienstes verwendet werden“. Inakzeptabel sind laut Schaar die neuen Geschäftsbedingungen des sozialen Netzwerks Couchsurfing (14. September 2012). Die Nutzer würden genötigt, auf jegliche Kontrolle über ihre Daten zu verzichten. Das sei nach deutschem und europäischem Datenschutzrecht unzulässig. Allerdings hat Couchsurfing seinen Sitz in den USA und keine Niederlassungen in der EU. Deutsches und europäisches Datenschutzrecht sind noch nicht anwendbar.

Schaar registrierte 2012 bedenkliche Versuche, Nutzerprofile kommerziell zu verwerten. So verweist er auf den Plan der Schufa, zur Bewertung der Kreditwürdigkeit von Privatpersonen, Daten aus sozialen Netzwerken hinzuziehen.  Nach massiven Protesten zog die private Wirtschaftsauskunftei das Konzept allerdings zurück. Auch die spanische Telefongesellschaft, zu der unter anderem O2 gehört, rückte nach Kritik davon ab, Bewegungsdaten der Kunden kommerziell zu nutzen und an Dritte zu verkaufen. „Die Fälle zeigen, wir müssen wachsam sein“, sagt Schaar.

„Kein Freibrief, Nutzerdaten für immer zu behalten“

Der Trend, Nutzerdaten zu aggregieren und zu vielfältigen Zwecken zu analysieren, werde sich 2013 Jahr fortsetzen, meint Schaar. Auch wenn Unternehmen wie Google und Facebook Nutzerdaten nicht verkaufen, sondern auf Grundlage der Nutzerpräferenzen Werbeanzeigen schalten, müsse es Regeln geben. „Für derartige Profilbildungen brauchen wir klare gesetzliche Grenzen.“

Bereits Ende Oktober 2012 forderte die Internationale Konferenz der Datenschutzbeauftragten in Uruguay: „Um Vertrauen zu schaffen, müssen öffentliche und private Einrichtungen auf der ganzen Welt sicherzustellen, dass sie die Gesellschaft maximal über den möglichen Umfang der Profilbildung informieren.“ Dazu gehörten Angaben über die Zwecke der Profilbildung und die Verwendung der Daten.

Schaar hält es außerdem für wichtig, dass Nutzer die Löschung ihrer Daten durchsetzen können, etwa wenn sie aus einem sozialen Netzwerk austreten. „Die Entscheidung, einen Dienst zu nutzen, kann doch vom Dienstanbieter nicht als Freibrief verstanden werden, die Nutzerdaten für immer zu behalten und unbegrenzt zu verwenden“, so Schaar.