| Warum Ihr Wunschkandidat Big Brother Party Presse Wer International Home |
Datenschutz ist überall
Realisierungsmöglichkeiten an der Schnittstelle User/Provider
Datenschutz ist
- besonders im US-amerikanischen Diskurs in seiner Inkarnation als "Privacy"
- eines der großen Themen in den Netzen. Je heftiger er diskutiert wird,
umso mehr scheinen seine Realiserungsmöglichkeiten in eine Vergangenheit
verwiesen zu sein, an die im Internet nur noch erinnert wird.
Das überkommene Konzept des Datenschutzes aus den 70er Jahren ist unter
den Bedingungen zentralisierter staatlicher Großrechner entwickelt worden.
Es gilt - dieser Standpunkt ist Common Sense - unter den Bedingungen globaler
Vernetzung als überholt, zumindest was technische Umsetzungen und Realisierungen
betrifft. Das Ideal des Rechts auf informationelle Selbstbestimmung, der Möglichkeit
des Bürgers, der in den Netzen zum User geworden ist, auf Kontrolle darüber,
durch welche Daten er in den Netzen dargestellt wird, dieses Ideal ist es nicht.
Seine Realisierung verlangt immer wieder nach neuen Lösungen. An der Schnittstelle
von User und Provider stehen diese Lösungen tendenziell zur Verfügung,
wenn der zum Konsumenten gewordene User sie verlangt: 10 Punkte zum Recht auf
Datenschutz und dessen Realisierung.
1. Datenschutz ist überall
Jede Geldbehebung beim Bankomaten, jede Kreditkartenbezahlung, jede E-Mail, jeder Aufruf einer Webpage, jede Versandhausbestellung, jeder Strafzettel, ein Eintrag in einer Kundenkartei, ein Besuch beim Friseur, hinterlässt in irgendeinem Computer irgendeinen Datensatz. In den meisten Bereichen des Lebens ist das Routine, ebenso, wie der vorsichtige Umgang mit den eigenen Daten. Das war lange vor dem Internet so und für Verletzungen der Datenschutzbestimmungen hat es das Internet nicht gebraucht. Im Internet muß noch gelernt werden.
2. Datenschutz ist Wissen
Datenschutz bedeutet
auch Kampf gegen überkommene Mythen. Z.B. den Mythos, im Internet könne
man völlig anonym unterwegs sein.
Das ist falsch. Es ist wie im "richtigen Leben". Wer durch die Stadt spaziert,
irgendwo einen Kaffee trinkt, eine Ausstellung besichtigt und mit Menschen spricht,
Sachen kauft und bezahlt, hinterläßt überall Datenspuren, Erinnerungen.
Das ist im Internet nicht anders, mit dem Unterschied, daß ihm eine menschliche
Eigenschaft fehlt: das Vergessen. Anwendersoftware ist daher entsprechend zu
konfigurieren, bestimmte Software vorzuziehen, Verschlüsselungssoftware,
Anonymizer, Remailer sind einzusetzen. Auch gegen Datenverarbeitung, die an
sich rechtmäßig, aber vom User ungewünscht ist. Auch das kann
vermittelt werden: nicht alles ist zu dulden, was das Gesetz ermöglicht.
3. Datenschutz ist Selbstdatenschutz
Forrester Research
fand jüngst in einer Umfrage heraus, daß fast 90 % der Online-Konsumenten
die Kontrolle darüber haben wollen, wie ihre persönlichen Daten verwendet
werden, nachdem sie im Internet gesammelt worden sind. Vor allem sorgen sie
sich darum, welche Daten genau verlangt werden und wer diese nachher zu Gesicht
bekommt. Wenn es aber darum geht, die Daten, mit denen später möglicherweise
Mißbrauch betrieben werden kann, gar nicht erst herauszugeben, sind viele
Kunden baß erstaunt, für die es völlig selbstverständlich
ist, bei jedem Webformular, das ihnen vorgesetzt wird, den richtigen Namen,
die echte Mailadresse und alle möglichen persönlichen Daten sonst
einzutragen, um etwa Gratissoftware herunterladen zu können.
Der User ist vom Anbieter über die Möglichkeiten des Selbstdatenschutzes
zu informieren. Hierzu gehört die Information über alternative Angebote,
die ohne die Verarbeitung personenbezogener Daten anonym oder pseudonym in Anspruch
genommen werden können. Über die Verwendung datenschutzrelevanter
Technologie (z.B. "Cookies") ist der User vom Provider zu informieren.
User sind vom Recht in die Lage zu versetzen, ihre Daten selbst zu schützen.
Das Signaturgesetz weist mit der Möglichkeit von Pseudonymen in diese Richtung.
Verschlüsselungssoftware ist zu fördern, nicht zu kriminalisieren,
die Idee des Verbots anonymer Zugänge aufgrund spektakulärer Einzelfälle
als abwegig zu qualifizieren.
4. Datenschutz ist Datenvermeidung
Das Internet sei
unsicher, es gäbe Sicherheitslücken, unausgereifte Applikationen,
durchlässige Systeme.
Alles das ist gewiß richtig: doch entstehen viele Datenschutz-Probleme
wegen "freiwillig" herausgegebener Daten, an Dritte weitergeleiteter E-Mail,
Rundschreiben, bei denen alle Adressen im CC-Feld mitgeschickt werden, sodaß
jeder Adressat weiß, wer die Nachricht noch bekommen hat, das Posten privater
und privatester Vorlieben in Discussion Groups usw. Ein essentielles Prinzip
des Datenschutzes ist das der "Datenvermeidung". Wo keine Daten sind, kann ihr
Schutz nicht verletzt, können sie nicht mißbraucht werden.
5. Datenschutz ist Datenlöschung
Der User soll die Möglichkeit haben, Daten richtigzustellen oder gegebenfalls wieder zu löschen, nach Möglichkeit über das gesetzlich vorgesehene Recht auf Richtigstellung oder Löschung hinaus, abhängig schlicht davon, ob der User es will: Unsubscribing bei Mailing Lists, Löschmöglichkeiten bei Userverzeichnissen und elektronischen Telephonbüchern usw. sind herzustellen.
6. Datenschutz ist Vertrauen
Das Gegenteil von fehlendem Datenschutz ist nicht mehr Datenschutz, sondern Vertrauen, auf dem längerfristige Kundenbindungen in einer ansonsten rasenden Aufmerksamkeitsökonomie bauen können. Die treibende Motivation von IT-Unternehmen ist der Wunsch nach Erreichung des Umsatzziels. Die Generierung neuer Kundenbeziehungen - eine ökonomische Binsenweisheit - ist um ein Vielfaches teurer als die Beibehaltung bestehender. Kundenbeziehungen bleiben bestehen, wenn sie auf Vertrauen beruhen. Und Vertrauen beruht unter anderem auf Transparenz. "Privacy Policy" oder AGB sollten erklären, bei welchen Gelegenheiten welche Daten zu welchem Zweck verarbeitet werden. Günstig ist es freilich in diesem Zusammenhang, nicht hinter die gesetzlichen Standards zurückzufallen. User sollten vom Provider diese Transparenz einfordern. Zusätzlicher Nutzen für den Provider: Image-Verbesserung, Wettbewerbsvorteil und der Vorteil, das Ergebnis wenigstens scheinbar im Wege der Selbstkontrolle und ihm Rahmen von Selbstregulierungsmechanismen erzielt zu haben.
7. Datenschutz ist Distinktionsgewinn und Marktvorteil
Die Vermarktung dieses Vertrauen kann dem Provider Vorteile verschaffen, ein Datenschutzgütesiegel kann im IT-Bereich sein, was ein Umweltschutzgütesiegel in anderen Bereichen ist. Strukturen zur Selbstregulierung, Guidelines, wie jene der ISPA, können zusätzlichen Anreiz für den Provider bieten, diese Standards möglichst hoch anzulegen. Druck der User auf die Provider ist gut für den Datenschutz.
8. Datenschutz ist Systemdatenschutz
Ebensowichtig,
wie der Schutz von Daten in der Beziehung User/Provider ist Datenschutz beim
Internet Service Provider nach innen:
Der Systemdatenschutz ist durch die entsprechende Gestaltung der Strukturen
des Systems, mit dem personenbezogene Daten verarbeitet werden, zu erreichen.
Technische und organisatorische Maßnahmen sind vorzusehen, die eine unzulässige
Datenverarbeitung verhindern und so die Selbstbestimmung der Nutzer sicherstellen.
Grundkonzept des Systemdesigns ist das schon erwähnte der Datenvermeidung.
Provider-intern werden die Daten durch Sicherheitsmaßnahmen, wie Passwörter
und/oder sonstige Zugangskontrollen, z.B. Datenschutzzonen, geschützt.
Bestimmte Be- und Verarbeitungen sind nur in bestimmten räumlichen und
organisatorischen Zusammenhängen überhaupt möglich. Nur von Rechnern
mit bestimmten IP-Adressen beispielsweise sind Zugriffe auf bestimmte Datenbanken
möglich. Nur bestimmte Personen sind zur Be- und Verarbeitung der Daten
befugt und technisch in der Lage. Sie sind über die rechtlichen Bedingungen
informiert.
9. Datenschutz ist Datensicherheit
Auch und gerade beim Provider. Dort, wo die Daten zusammenlaufen und zentral abgelegt sind. Das bedeutet: Sicherungen gegen Kopieren, gegen Datendiebstahl, gegen unbefugte Veränderungen. Aufsehenerregende Fälle auch hierzulande beweisen dies, wie der Microsoft/Linux-Werbefall. Daß Microsoft, bzw. die von ihm beauftragte Werbeagentur, die Daten von Mitgliedern einer Linux-Usergroup verwendet und Werbung via Spam betrieben hat, ist ein Teil des Problems. Daß die Userlisten samt Mailadressen vom Server ohne große Probleme zu kopieren waren, ein Datenschutzproblem, das den folgenden vorausging. Ein anderer Fall war das Auftauchen bestimmter Kundenlisten von AON im Usenet, die aufgrund eines Fehlers im Web-Interface des AON-Userverzeichnisses abgerufen werden konnten. Datenschutz setzt Datensicherheit voraus. Der Provider ist gefordert, sie zu gewährleisten.
10. Datenschutz ist global
Alle technischen und faktischen Maßnahmen zum Datenschutz sind im Rechtsstaat nur vor dem Hintergrund eines Datenschutzrechts vorstellbar. Doch wie in anderen Bereichen auch stößt der nationale Gesetzgeber bei der Regelung von Datenschutz durch Provider und andere Datenverarbeiter buchstäblich auf seine Grenzen. Das ist im Internet an sich eine Trivialität. Probleme in globalen Netzwerken sind auch globale Rechtsprobleme und können nur global gelöst werden, will man vermeiden, daß sich Datenverarbeiter, Data Mining Companies in datenschutzrechtliche Billigflaggenländer zurückziehen. Das Recht auf Datenschutz im globalen Datenraum wird daher kein Bürgerrecht sein. Es wird ein Menschenrecht sein oder es wird nicht sein.
Draft zu einem Vortrag im Rahmen des Symposiums ChaosControl - Das Internet als dunkle Seite des Rechts? an der juridischen Fakultät der Universität Wien am 26.05.2000
Diskussionsbeitrag zu einem Roundtable der Public Netbase im Rahmen der Serie "Optionen für Österreichs Zukunft. Demokratie und Informationsgesellschaft" zum Thema "Bürgerrechte in der Informationsgesellschaft" am 08.06.2000.
August 2000 | Klaus Richter