Datenschutz ist überall Realisierungsmöglichkeiten an der Schnittstelle User/Provider
|
Von
Klaus
Richter
August 2000
Datenschutz ist - besonders im US-amerikanischen Diskurs in seiner Inkarnation als "Privacy" - eines der großen Themen in den Netzen. Je heftiger er diskutiert wird, umso mehr scheinen seine Realiserungsmöglichkeiten in eine Vergangenheit verwiesen zu sein, an die im Internet nur noch erinnert wird.
Das überkommene Konzept des Datenschutzes aus den 70er Jahren ist unter den Bedingungen zentralisierter staatlicher Großrechner entwickelt worden. Es gilt - dieser Standpunkt ist Common Sense - unter den Bedingungen globaler Vernetzung als überholt, zumindest was technische Umsetzungen und Realisierungen betrifft. Das Ideal des Rechts auf informationelle Selbstbestimmung, der Möglichkeit des Bürgers, der in den Netzen zum User geworden ist, auf Kontrolle darüber, durch welche Daten er in den Netzen dargestellt wird, dieses Ideal ist es nicht. Seine Realisierung verlangt immer wieder nach neuen Lösungen. An der Schnittstelle von User und Provider stehen diese Lösungen tendenziell zur Verfügung, wenn der zum Konsumenten gewordene User sie verlangt: 10 Punkte zum Recht auf Datenschutz und dessen Realisierung.
1. Datenschutz ist überall
|
Jede Geldbehebung beim Bankomaten, jede Kreditkartenbezahlung, jede E-Mail, jeder Aufruf einer Webpage, jede Versandhausbestellung, jeder Strafzettel, ein Eintrag in einer Kundenkartei, ein Besuch beim Friseur, hinterlässt in irgendeinem Computer irgendeinen Datensatz. In den meisten Bereichen des Lebens ist das Routine, ebenso, wie der vorsichtige Umgang mit den eigenen Daten. Das war lange vor dem Internet so und für Verletzungen der Datenschutzbestimmungen hat es das Internet nicht gebraucht. Im Internet muß noch gelernt werden.
2. Datenschutz ist Wissen
|
Datenschutz bedeutet auch Kampf gegen überkommene Mythen. Z.B. den Mythos, im Internet könne man völlig anonym unterwegs sein.
Das ist falsch. Es ist wie im "richtigen Leben". Wer durch die Stadt spaziert, irgendwo einen Kaffee trinkt, eine Ausstellung besichtigt und mit Menschen spricht, Sachen kauft und bezahlt, hinterläßt überall Datenspuren, Erinnerungen. Das ist im Internet nicht anders, mit dem Unterschied, daß ihm eine menschliche Eigenschaft fehlt: das Vergessen. Anwendersoftware ist daher entsprechend zu konfigurieren, bestimmte Software vorzuziehen, Verschlüsselungssoftware, Anonymizer, Remailer sind einzusetzen. Auch gegen Datenverarbeitung, die an sich rechtmäßig, aber vom User ungewünscht ist. Auch das kann vermittelt werden: nicht alles ist zu dulden, was das Gesetz ermöglicht.
3. Datenschutz ist Selbstdatenschutz
|
Forrester Research fand jüngst in einer Umfrage heraus, daß fast 90 % der Online-Konsumenten die Kontrolle darüber haben wollen, wie ihre persönlichen Daten verwendet werden, nachdem sie im Internet gesammelt worden sind. Vor allem sorgen sie sich darum, welche Daten genau verlangt werden und wer diese nachher zu Gesicht bekommt. Wenn es aber darum geht, die Daten, mit denen später möglicherweise Mißbrauch betrieben werden kann, gar nicht erst herauszugeben, sind viele Kunden baß erstaunt, für die es völlig selbstverständlich ist, bei jedem Webformular, das ihnen vorgesetzt wird, den richtigen Namen, die echte Mailadresse und alle möglichen persönlichen Daten sonst einzutragen, um etwa Gratissoftware herunterladen zu können.
Der User ist vom Anbieter über die Möglichkeiten des Selbstdatenschutzes zu informieren. Hierzu gehört die Information über alternative Angebote, die ohne die Verarbeitung personenbezogener Daten anonym oder pseudonym in Anspruch genommen werden können. Über die Verwendung datenschutzrelevanter Technologie (z.B. "Cookies") ist der User vom Provider zu informieren.
User sind vom Recht in die Lage zu versetzen, ihre Daten selbst zu schützen. Das Signaturgesetz weist mit der Möglichkeit von Pseudonymen in diese Richtung. Verschlüsselungssoftware ist zu fördern, nicht zu kriminalisieren, die Idee des Verbots anonymer Zugänge aufgrund spektakulärer Einzelfälle als abwegig zu qualifizieren.
4. Datenschutz ist Datenvermeidung
|
Das Internet sei unsicher, es gäbe Sicherheitslücken, unausgereifte Applikationen, durchlässige Systeme.
Alles das ist gewiß richtig: doch entstehen viele Datenschutz-Probleme wegen "freiwillig" herausgegebener Daten, an Dritte weitergeleiteter E-Mail, Rundschreiben, bei denen alle Adressen im CC-Feld mitgeschickt werden, sodaß jeder Adressat weiß, wer die Nachricht noch bekommen hat, das Posten privater und privatester Vorlieben in Discussion Groups usw. Ein essentielles Prinzip des Datenschutzes ist das der "Datenvermeidung". Wo keine Daten sind, kann ihr Schutz nicht verletzt, können sie nicht mißbraucht werden.
5. Datenschutz ist Datenlöschung
|
Der User soll die Möglichkeit haben, Daten richtigzustellen oder gegebenfalls wieder zu löschen, nach Möglichkeit über das gesetzlich vorgesehene Recht auf Richtigstellung oder Löschung hinaus, abhängig schlicht davon, ob der User es will: Unsubscribing bei Mailing Lists, Löschmöglichkeiten bei Userverzeichnissen und elektronischen Telephonbüchern usw. sind herzustellen.
6. Datenschutz ist Vertrauen
|
Das Gegenteil von fehlendem Datenschutz ist nicht mehr Datenschutz, sondern Vertrauen, auf dem längerfristige Kundenbindungen in einer ansonsten rasenden Aufmerksamkeitsökonomie bauen können. Die treibende Motivation von IT-Unternehmen ist der Wunsch nach Erreichung des Umsatzziels. Die Generierung neuer Kundenbeziehungen - eine ökonomische Binsenweisheit - ist um ein Vielfaches teurer als die Beibehaltung bestehender. Kundenbeziehungen bleiben bestehen, wenn sie auf Vertrauen beruhen. Und Vertrauen beruht unter anderem auf Transparenz. "Privacy Policy" oder AGB sollten erklären, bei welchen Gelegenheiten welche Daten zu welchem Zweck verarbeitet werden. Günstig ist es freilich in diesem Zusammenhang, nicht hinter die gesetzlichen Standards zurückzufallen. User sollten vom Provider diese Transparenz einfordern. Zusätzlicher Nutzen für den Provider: Image-Verbesserung, Wettbewerbsvorteil und der Vorteil, das Ergebnis wenigstens scheinbar im Wege der Selbstkontrolle und ihm Rahmen von Selbstregulierungsmechanismen erzielt zu haben.
7. Datenschutz ist Distinktionsgewinn und Marktvorteil
|
Die Vermarktung dieses Vertrauen kann dem Provider Vorteile verschaffen, ein Datenschutzgütesiegel kann im IT-Bereich sein, was ein Umweltschutzgütesiegel in anderen Bereichen ist. Strukturen zur Selbstregulierung, Guidelines, wie jene der ISPA, können zusätzlichen Anreiz für den Provider bieten, diese Standards möglichst hoch anzulegen. Druck der User auf die Provider ist gut für den Datenschutz.
8. Datenschutz ist Systemdatenschutz
|
Ebensowichtig, wie der Schutz von Daten in der Beziehung User/Provider ist Datenschutz beim Internet Service Provider nach innen:
Der Systemdatenschutz ist durch die entsprechende Gestaltung der Strukturen des Systems, mit dem personenbezogene Daten verarbeitet werden, zu erreichen. Technische und organisatorische Maßnahmen sind vorzusehen, die eine unzulässige Datenverarbeitung verhindern und so die Selbstbestimmung der Nutzer sicherstellen. Grundkonzept des Systemdesigns ist das schon erwähnte der Datenvermeidung. Provider-intern werden die Daten durch Sicherheitsmaßnahmen, wie Passwörter und/oder sonstige Zugangskontrollen, z.B. Datenschutzzonen, geschützt. Bestimmte Be- und Verarbeitungen sind nur in bestimmten räumlichen und organisatorischen Zusammenhängen überhaupt möglich. Nur von Rechnern mit bestimmten IP-Adressen beispielsweise sind Zugriffe auf bestimmte Datenbanken möglich. Nur bestimmte Personen sind zur Be- und Verarbeitung der Daten befugt und technisch in der Lage. Sie sind über die rechtlichen Bedingungen informiert.
9. Datenschutz ist Datensicherheit
|
Auch und gerade beim Provider. Dort, wo die Daten zusammenlaufen und zentral abgelegt sind. Das bedeutet: Sicherungen gegen Kopieren, gegen Datendiebstahl, gegen unbefugte Veränderungen. Aufsehenerregende Fälle auch hierzulande beweisen dies, wie der Microsoft/Linux-Werbefall. Daß Microsoft, bzw. die von ihm beauftragte Werbeagentur, die Daten von Mitgliedern einer Linux-Usergroup verwendet und Werbung via Spam betrieben hat, ist ein Teil des Problems. Daß die Userlisten samt Mailadressen vom Server ohne große Probleme zu kopieren waren, ein Datenschutzproblem, das den folgenden vorausging. Ein anderer Fall war das Auftauchen bestimmter Kundenlisten von AON im Usenet, die aufgrund eines Fehlers im Web-Interface des AON-Userverzeichnisses abgerufen werden konnten. Datenschutz setzt Datensicherheit voraus. Der Provider ist gefordert, sie zu gewährleisten.
10. Datenschutz ist global
|
Alle technischen und faktischen Maßnahmen zum Datenschutz sind im Rechtsstaat nur vor dem Hintergrund eines Datenschutzrechts vorstellbar. Doch wie in anderen Bereichen auch stößt der nationale Gesetzgeber bei der Regelung von Datenschutz durch Provider und andere Datenverarbeiter buchstäblich auf seine Grenzen. Das ist im Internet an sich eine Trivialität. Probleme in globalen Netzwerken sind auch globale Rechtsprobleme und können nur global gelöst werden, will man vermeiden, daß sich Datenverarbeiter, Data Mining Companies in datenschutzrechtliche Billigflaggenländer zurückziehen. Das Recht auf Datenschutz im globalen Datenraum wird daher kein Bürgerrecht sein. Es wird ein Menschenrecht sein oder es wird nicht sein.
Draft zu einem
Vortrag im Rahmen des Symposiums ChaosControl - Das Internet als dunkle Seite des Rechts? an der
juridischen Fakultät
der Universität Wien am 26.05.2000
Diskussionsbeitrag
zu einem Roundtable
der Public Netbase im Rahmen
der Serie "Optionen für Österreichs Zukunft. Demokratie und Informationsgesellschaft"
zum Thema "Bürgerrechte in der Informationsgesellschaft" am 08.06.2000.
|
|