Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden
Suche

Donnerstag, 21. März 2019

Datenschutz

„Datenschutz durch Technik wurde noch nicht einmal im Ansatz realisiert“

Von Chr. Schulzki-Haddouti | 21. Oktober 2011 | Ausgabe 42

Mit Bußgeldandrohungen gegen Websitebetreiber versucht das Unabhängige Landeszentrum für Datenschutz (ULD) Facebook dazu zu bringen, den "Gefällt mir"-Button datenschutzfreundlicher zu machen. "Die Internetbranche sollte kapieren, dass sie eine den Menschen dienende Funktion hat und dass man nicht nach Wildwest-Manier agieren kann", sagt ULD-Leiter Thilo Weichert, der eigentlich mit "Datenschutz durch Technik" eher einen anderen Regelungsansatz bevorzugt.

 VDI nachrichten: Legen Nutzer nicht mehr so großen Wert auf Datenschutz, wenn sie freiwillig so viele private Details in sozialen Netzwerken veröffentlichen?

Weichert: Datenschutz ist für den einen wichtig, für den anderen nicht. Das Recht auf informationelle Selbstbestimmung ist ein Grundrecht. Das steht allen Menschen zu. Die Nutzer, die darauf verzichten, können das in freier Entscheidung tun. Aber die anderen müssen nicht.

Warum reicht es nicht, wenn Nutzer den "Gefällt mir"-Button entschärfen, indem sie ihren Browser so einstellen, dass er mit dem Button verschickte Facebook-Cookies blockiert?

Wie viele der Internetnutzer tun dies? Viele wissen überhaupt nicht, was ein Cookie ist und wie damit umgegangen werden kann. Es ist das Banalste der Welt, jedem Verbraucher mitzuteilen, was mit seinen Daten passiert und eine Zustimmung einzuholen. Nicht mehr und nicht weniger verlangen auch die Gesetze. Dabei kann gerne auf technische Hilfsmittel wie Browser-Einstellungen zurückgriffen werden, aber nur, wenn damit eine bewusste Entscheidung der Betroffenen verbunden ist.

Zurzeit wird immer noch um die praktische Umsetzung der Cookie-Regelung gerungen, die verlangt, dass Nutzern keine Cookies aufgedrängt werden dürfen. Was daran ist so schwer?

Hier prallen die Interessen des Datenschutzes und der Wirtschaft, die Nutzerprofile erstellen und gewinnbringend auswerten will, massiv aufeinander. Wir haben eine äußerst positive europäische Gesetzgebung und zugleich die Weigerung der Wirtschaft, sich daran zu orientieren. Wir müssen aber ehrlich genug sein, dass für diese Regelung, die eine Einwilligung des Nutzers bei Cookies erfordert, die für den Dienst nicht funktional wichtig sind, bisher keine guten technischen Lösungen entwickelt worden sind.

Erwarten Sie nun, dass sich die gesamte Internetbranche vom seit Jahren akzeptierten Opt-out-Prinzip, mit dem Nutzer über Browser-Einstellungen Cookies gezielt ablehnen, verabschiedet?

Pardon, Opt-out war nie akzeptiert und ist spätestens "out", seitdem europaweit rechtlich für Tracking- und Profiling-Cookies ein Opt-in gefordert wird, also seit 2009. Wir haben in der analogen Welt 2008 mit den Adresshandel-Skandalen erlebt, wie ein jahrelang vermeintlich akzeptiertes Opt-out durch aggressive kommerzielle Nutzung sich selbst ins Aus geschossen hat. Derzeit erleben wir etwas Entsprechendes in der digitalen Welt. Die Internetbranche sollte kapieren, dass sie eine den Menschen dienende Funktion hat und dass man nicht nach Wildwest-Manier agieren kann.

Sie greifen auf alte, aber immer noch gültige Datenschutzregeln zurück – was auf manche Nutzer so wirkt, als würde man mit der Holzkeule vorgehen...

Wir Datenschützer schwingen keine Holzkeulen, das empfinden allenfalls die Staatskanzlei in Schleswig-Holstein und einige Wirtschaftsvertreter so. Die meisten Zuschriften, die das ULD seit Beginn unserer Aktion gegen den "Gefällt mir"-Button und andere Facebook-Funktionen erhalten hat, sind total positiv, auch aus der Internetszene. Zugegeben: Die rechtlichen Regelungen zum Internetdatenschutz sind von vorgestern. Es ist ein Jammer, mit welchem Unwillen und welch mangelnder Professionalität dies von der Politik angefasst wird, obwohl qualifizierte Vorschläge zur Diskussion stehen.

Was wäre Ihr Idealinstrumentarium?

Wir brauchen einen Instrumentenmix. Dazu gehören neben den oft unwirksamen Kontrollen und Sanktionen vor allem positive Anreize, also Standardisierungen, Zertifizierungen, Verbraucheranreize, Transparenzpflichten und die Förderung von verbraucherfreundlichen Techniklösungen. Spezialisten kommen Begriffe wie "Privacy by Design" und "Privacy by Default", also Datenschutz über Grundeinstellungen, schon veraltet vor. Insofern: Datenschutz durch Technik wurde noch nicht einmal im Ansatz realisiert.

Für diesen Ansatz, "Datenschutz durch Technik", hat sich das ULD lange als Vorreiter stark gemacht. Was war Ihr größter Erfolg?

Es gab und gibt keine "größten Erfolge", es gibt weiterhin eine sehr anstrengende, aber zugleich reizvolle Dauerherausforderung, wobei die faktischen technischen und sozialen Änderungen uns auch in Zukunft keine Ruhe lassen werden.

Was war Ihre größte Niederlage?

Die Novellen zum Bundesdatenschutzgesetz 2009. Das ULD war zentral beteiligt an der Skandalisierung des illegalen Adresshandels und des Scoring, bei dem die Kreditwürdigkeit von Verbrauchern etwa nach ihrem Wohnort und ihren Kaufgewohnheiten bewertet wird. Das wurde dann ja auch geregelt. Heraus kam aber nicht mehr Datenschutz, sondern im Ergebnis weniger und bürokratischerer Datenschutz. Als Niederlage empfinde ich das, weil der Skandal fortdauert, aber nur noch wenige sich darüber aufregen.

US-Unternehmen wie Amazon und Microsoft bieten auch deutschen Kunden, darunter auch Behörden, ihre Cloud-Dienste an. Gleichzeitig müssen sie jedoch nach dem Patriot Act Auskunft geben. Wie oft kam dies Ihrem Wissen nach bereits in Deutschland vor?

Angeblich nicht sehr oft. Wir wissen, dass US-Sicherheitsbehörden von US-Unternehmen Daten herauspressen, die diese gar nicht haben, sondern deren europäische Konzerntöchter oder Geschäftspartner. Diese Herausgabepflicht gilt übrigens nicht nur für das Cloud Computing, sondern generell. Schon die Regelung ist ein Skandal. Sie führt dazu, dass Unternehmen sich nicht an gesetzlich geregelten Datenschutz in Europa halten, wenn US-Partnerunternehmen übermäßig von US-Behörden unter Druck gesetzt werden.

Wenn Sicherheitsbehörden eines anderen Staates theoretisch jederzeit auf Daten zugreifen können, dürfen Behörden dann überhaupt diese Cloud-Dienste nutzen?

Nein. Ich bin immer wieder schockiert, mit welcher Blauäugigkeit bei öffentlichen Stellen für Clouds geworben wird und wie dies von den Stellen geglaubt und dann gekauft wird. Hier wird zunächst einmal nur auf das Geld geschaut, das man einsparen will. Dass eine Verpflichtung zu gesetzmäßigem Handeln besteht, gerät dabei schnell aus dem Blick. Der Patriot Act schließt nicht das Cloud Computing aus. Wichtig ist nur, dass sichergestellt wird, dass die Daten in der Cloud vertraulich und integer bleiben. Bei europäischen Anbietern ist dies nicht ausgeschlossen.

In Schleswig-Holstein wurde auch eine Variante des Bayern-Trojaners eingesetzt. Konnten oder wollten Sie den Code in den vergangenen vier Jahren nicht prüfen?

Wir hatten bisher keine positive Kenntnis von der Quellen-Telekommunikationsüberwachung in Schleswig-Holstein. Vor wenigen Tagen hat sich das geändert und wir haben schnell und offensiv reagiert und nachgefragt. Wir werden die Rahmenbedingungen dieser Telekommunikationsüberwachung wie auch die Software einer kritischen Untersuchung unterwerfen.

Hätten Sie nicht schon früher prüfen müssen?

Ich bin sicher, dass in Sachen Datenschutz einige "Leichen" in schleswig-holsteinischen Kellern liegen. Aber mit dem wenigen Personal und der schlechten Ausstattung des ULD versuchen wir einfach das anzupacken, was uns am wichtigsten erscheint. Inzwischen wissen wir, dass der Staatstrojaner nicht nur theoretisch, sondern auch in der Praxis eine große Bedeutung hat. CHR. SCHULZKI-HADDOUTI

www.datenschutzzentrum.de