Interview mit Prof. Dr. Johannes Caspar: Die Autonomie des Nutzers darf nicht wegbrechen

Welchen Regelungsbedarf gibt es beim Datenschutz im Internet?

Johannes Caspar: Ein besonders hohes Regulierungsbedürfnis besteht bei sozialen Netzwerken. Wir haben es hier mit unterschiedlichen Playern zu tun, die sich zum Teil nicht an nationale Regelungen halten, weil sie der Auffassung sind, dass für sie andere Regulierungsinstanzen zuständig sind bzw. nicht die deutschen Rechtsvorschriften gelten.

Ein Beispiel ist die Auseinandersetzung über die automatische Gesichtserkennung bei Facebook in den vergangenen zwei Jahren. Dabei ging es um die Frage, ob biometrische Merkmale verarbeitet werden dürfen, ohne dass die Betroffenen vorher zustimmen. Zunächst scheint es ja so, als böte eine Hilfe zur Markierung von Freunden auf Fotos wenig Grund für datenschutzrechtliche Sorgen. Wenn man aber weiß, dass für dieses Feature im Hintergrund die Gesichter von Millionen von Facebook-Nutzern biometrisch vermessen und diese Daten in einer Datenbank hinterlegt werden, ist dies – nicht zuletzt vor einer massenhaften und maßlosen Ausspähung durch insbesondere US-Geheimdienste – ein Datenschutzthema ersten Ranges. Die Missbrauchspotenziale einer biometrischen Gesichtsdatenbank sind immens. Man könnte sie etwa dazu nutzen, um Gesichter wiederzuerkennen, die mithilfe von Videoüberwachungskameras aufgezeichnet wurden. Das wäre das Ende der Anonymität des Einzelnen in der Öffentlichkeit und ein machtvolles Instrument in der Hand gerade von undemokratischen Regimen zur Einschüchterung und Ermittlung politisch Andersdenkender, etwa anlässlich von Demonstrationen.

Das Bundesdatenschutzgesetz fordert für die Erhebung und Verarbeitung personenbezogener Daten eine Einwilligung der Nutzer. Im Einklang mit der EU-Datenschutzrichtlinie ist hierfür ein Optin der Betroffenen im Sinne einer vorab erfolgten expliziten Einwilligung nötig. Facebook beantwortet diese Frage allerdings anders: Es sei ausreichend, dass die Nutzer der Verarbeitung ihrer biometrischen Gesichtsmerkmale nicht widersprechen. Die Widerspruchsoption wurde in einer kaum auffindbaren Weise im Dschungel der Profileinstellungen versteckt. Die Rechtsauffassung begründete Facebook mit Berufung auf die für den europäischen Hauptsitz des Unternehmens in Dublin zuständige irische Datenschutzbehörde und dem allein einschlägigen irischen Datenschutzrecht.

Der Fall zeigt deutlich: Wir haben eine europäische Datenschutzrichtlinie, die überall unterschiedlich umgesetzt wird. Künftig brauchen wir gerade für global agierende Unternehmen einen europaweiten einheitlichen Datenschutzraum. Derartige Fälle müssen nicht nur klar geregelt sein, sondern auch in einheitlicher Weise von den Aufsichtsbehörden vollzogen werden.

Bei der Gesichtserkennung konnte der Datenschutz am Ende dennoch erfolgreich umgesetzt werden – die Funktion ist für die Nutzer in Europa deaktiviert. Da hat die Gesetzeslage offenbar ausgereicht.

JC: Am Ende hat Facebook dem Druck zwar nachgegeben, die automatische Gesichtserkennung abgeschaltet und die Profile gelöscht: ein Etappensieg in einer sehr wichtigen Angelegenheit. Das Grundproblem, dass ein einheitlicher hoher Datenschutzstandard in Europa fehlt, bleibt bestehen. Bei den letzten Überarbeitungen der Datenschutzbestimmungen hat Facebook die automatische Gesichtserkennung mit erweiterter Funktion erneut aufgenommen. Die Funktion wird im Augenblick in Europa zwar nicht genutzt, die Möglichkeit, sie kurzfristig wieder einzuführen, hat sich Facebook aber nach wie vor offengehalten.

Was sollten oder könnten Internet-Unternehmen tun, um dem Datenschutz Genüge zu tun oder um sich in diesem Bereich weniger angreifbar zu machen?

JC: Da ist zunächst einmal die Transparenz gegenüber den Nutzern, also klare Informationen über die Daten, die gespeichert werden. Das gilt auch und gerade für die Nutzungsdaten. Was wird mit den Daten gemacht? Wie werden pseudonyme Nutzungsdaten verwendet? Werden sie mit den Trägern des Pseudonyms zusammengeführt? Das sind Fragen, die nicht nur durch die Datenschutzbeauftragten gestellt werden, sondern auch für die Nutzer von Bedeutung sind. Diese Fragen müssen offen beantwortet werden. Gleichzeitig sollten die Unternehmen auch die Möglichkeit schaffen, dass die Beauftragten zumindest in besonderen Fällen Einblick in die Quellcodes erhalten, um bestehende Argumentationen über den Einsatzzweck, etwa für Cookies, zu überprüfen.

Für datenschutzfreundliche soziale Netzwerke müssen ferner die Nutzerführung verbessert und die Standard-Profileinstellungen so gestaltet werden, dass jedes neue Mitglied nach der Registrierung einen optimalen Datenschutz genießt. Nutzer müssen zudem in der Lage sein, Profileinstellungen selbstverantwortlich zu ändern. Gerade bei sozialen Netzwerken gilt, dass die Daten von Nutzern, die häufig noch jung und unerfahren sind, erst einmal zurückgehalten werden. Jeder soll später dann selbst entscheiden können, diese Voreinstellungen zu erweitern.

Müssen auch die Default-Einstellungen geändert werden? Sind Sie für ein generelles Opt-in?

JC: Ich bin generell für optimale Nutzer-Transparenz. Wir gehen insoweit konform mit den geplanten EU-Regelungen, die unter den Stichworten „Privacy by Default“ oder „Privacy by Design“ eben das verlangen. Allerdings sind die bisherigen Punkte viel zu allgemein geregelt. Da müssen konkretere Formulierungen her, die möglicherweise auch bedeuten, dass Opt-in-Verfahren wesentlich häufiger nötig werden, als bisher tatsächlich abgefragt.

Wie steht es denn mit der Eigenverantwortung des Nutzers?

JC: Der Nutzer sollte eigenverantwortlich sein Datenmanagement betreiben. Das heißt, er muss autonom bestimmen können, in welcher Weise er seine Daten im Netzwerk preisgeben will. Dar-über hinaus muss er aber auch respektvoll mit den Daten Dritter umgehen. Das ist in den Netzwerken ein ganz wesentlicher Punkt. Letztlich geht es dabei um den Bereich des Selbstdatenschutzes. Datenschutzkompetenzförderung tut also not. Hier haben wir ganz wesentliche Defizite. Kinder und Jugendliche müssen nicht nur die technischen Anforderungen, wie sie am besten an die Daten herankommen, beherrschen, sondern darüber hinaus auch über die Bedeutung und Risiken ihrer Daten als Zahlungsmittel in der digitalen Welt aufgeklärt sein. Dies gilt es gerade in der schulischen Ausbildung zu vermitteln.

Was heißt überhaupt Privacy? Da gibt es ja international durchaus kulturell unterschiedliche Ansichten. In den USA finden die Nutzer andere Einstellungen akzeptabel als in Deutschland.

JC: Privatsphäre ist die Fähigkeit, selbstverantwortlich darüber zu entscheiden, mit wem ich meine Daten teile oder nicht teile. Diese Autonomie bricht immer mehr weg. Es ist auch für den amerikanischen Nutzer interessant, was mit seinen Daten passiert. Insofern sollte der kulturelle Un- terschied eigentlich keine Rolle spielen. Diesseits und jenseits des Atlantiks gilt: Daten sind nicht nur ökonomische Optionen für private Akteure, sie vermitteln auch Macht über andere, sodass eine transparente demokratische Kontrolle gerade bei der Frage nach dem staatlichen Umgang mit Daten eine zentrale Rolle spielt.

Was ist für Nutzer gefährlicher: die private oder staatliche Überwachung von Daten? Seit Edward Snowden im vergangenen Jahr die NSA-Aktivitäten und diejenigen anderer Geheimdienste aufdeckte, können wir gar nicht mehr anders, als diese Ebene mitzudenken.

JC: Das kann man nicht mehr trennen. Die 1980er-Jahre waren von Ängsten gegenüber einem Überwachungsstaat geprägt. Als Antwort darauf haben wir das Recht auf informationelle Selbstbestimmung bekommen. Gesetzliche Garantien und Implementierungsprozesse im Bereich der Verwaltung haben den Umgang des Staats mit unseren Daten seither rechtsstaatlich umrahmt. Dann – Anfang der 2000er-Jahre – hat sich die Situation verändert: Das Geschäft des Datenverarbeitens hat sich verlagert auf private Akteure. An die Stelle des Überwachungsstaats ist die Überwachungsgesellschaft getreten. Daten haben als ökonomische Ressource für Unternehmen ganz entscheidende Bedeutung erlangt – der rasante technologische Wandel hat die Ökonomisierung der persönlichen Daten noch beschleunigt.

Mit den Erkenntnissen von Edward Snowden, mit der Dokumentation des massenhaften Ausspähens der digitalen Kommunikation durch Nachrichtendienste, haben wir wieder eine ganz andere Ebene erreicht. Wir wissen heute, es gibt ein System der internationalen, staatlichen Überwachung, die demokratisch weitgehend unkontrolliert stattfindet und sich aller gangbaren Mittel und Wege bedient. Hier werden staatliche Stellen aktiv, die dann wieder untereinander Daten austauschen und die sich bei global agierenden Internet-Dienstleistern bedienen können.

Es gibt Stellen, die wissen, was in Echtzeit passiert, welche Kommunikation über die Internet-Knotenpunkte läuft; sie haben darüber hinaus Zugriff auch auf weit in die Vergangenheit zurückreichende Informationen bei den privaten Anbietern. Insofern haben wir es mit einer absoluten, entgrenzten Überwachung zu tun. Hier wird alles gemacht, was technisch machbar ist.

Brauchen wir angesichts dieser Entwicklungen eine digitale Bürgerrechtsbewegung – so wie in den 1980er-Jahren die Umweltbewegung?

JC: Eine Bürgerbewegung für einen modernen Datenschutz ist sehr wichtig. Es hat sich in den letzten Jahren ganz deutlich gezeigt, dass die Politik aus eigener Kraft heraus bislang nicht willens oder zumindest nicht fähig war, klare Regeln für einen zeitgemäßen Schutz der Daten zu formulieren. Wir sind seit Jahren in bestimmten Bereichen auf Regelungen aus dem analogen Zeitalter beschränkt. Da muss sich etwas bewegen. Der Fortgang politischer Prozesse kann gerade durch ein verstärktes Engagement von Bürgerinnen und Bürgern wesentlich befeuert werden.

Sehen Sie dies denn kommen? Die Empörung der Bevölkerung ist gering.

JC: Der derzeitige Protest ist natürlich keine Massenbewegung – nicht etwa so wie damals gegen die Volkszählung. Es scheint, als würde das Thema in der öffentlichen Wahrnehmung mit jeder Berichterstattung weiter an Gewicht verlieren, als würden wir uns schrittweise daran gewöhnen, dass unsere digitalen Grundrechte, die Basis für eine freie und offene Welt der Kommunikation, immer stärker von der sozialen Realität einer massenhaften, entgrenzten Kontrolle entwertet werden. Das ist ein schleichender Prozess, der am Ende an die Wurzeln des demokratischen Rechtsstaats geht. Diese Entwicklung erfüllt mich mit Sorge. Denn wenn wir weiter in diese Richtung gehen, werden wir immer mehr Freiheit und Selbstbestimmung über die eigenen Daten und damit auch über unser eigenes Leben verlieren. Es wird Zeit für Konsequenzen. Ansätze hierfür gibt es genug.

Prof. Dr. Johannes CasparProf. Dr. Johannes Caspar
ist seit Mai 2009 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. Caspar promovierte 1992 an der Fakultät für Rechtswissenschaften an der Universität Göttingen. 1999 habilitierte er sich für Staats- und Verwaltungsrecht sowie für Rechtsphilosophie. Danach war Caspar als Wissenschaftler in Frankfurt und als Rechtsanwalt in Hamburg und Berlin tätig. Von 2002 bis 2009 leitete er den Wissenschaftlichen Dienst im Landtag von Schleswig-Holstein stellvertretend.