Unsere heutige Zeit ist geprägt von einer unablässigen Erreichbarkeit: Die Digitalisierung und die damit einhergehenden technischen Errungenschaften scheinen uns fest im Griff zu haben. Ein Leben ohne Smartphone und Tablet – für viele undenkbar. Uns wird ermöglicht, verschiedenste Inhalte im Nullkommanichts über die immaterielle Datenautobahn in die Welt hinauszutragen. Von dieser neuartigen Art der Informationszirkulation und -beschaffung profitieren wir zweifelsohne. Mit Hinblick auf Dystopien wie etwa Orwells „1984“ stellt sich allerdings auch die Frage nach dem gegebenen Maß an Datenschutz sowie -sicherheit. Hierzu der folgende Text.
Vielfach mögen die beiden Begrifflichkeiten “Datenschutz” und “Datensicherheit” synonym verwendet werden. Dennoch besteht zwischen den Bezeichnungen ein kleiner, wenn auch feiner Unterschied: Während ersteres lediglich personenbezogene Daten umfasst, vereinigt letztgenanntes jedwede Art von Daten unter sich.
Wer sich in den Tiefen des WWW, mitunter vielleicht sogar als Betreiber einer eigenen Webseite, bewegt, der sollte sich einiger verpflichtender Aspekte bewusst sein. So bedürfen sämtliche Internetseiten einer Datenschutzerklärung, welche die Seitenbesucherinnen und -besucher über die konkrete Ausgestaltung bzw. Vorgehensweise bei der Speicherung und Erhebung personenbezogener Daten der jeweiligen Homepage unterrichtet. Des Weiteren besteht eine Auskunftspflicht gegenüber den entsprechenden, auf dieser Seite surfenden Individuen: Möchten diese in Erfahrung bringen, welche Daten zu deren Personen erfasst wurden, so besteht diesbezüglich die Pflicht zur kostenfreien Auskunftserteilung. Stellt sich hierbei heraus, dass bestimmte abgespeicherte Informationen inkorrekt sind, so müssen diese auf Verlangen des Betroffenen hin rektifiziert oder gelöscht werden. Nicht zuletzt sollte die Impressumspflicht, welche auf dem Gedanken der Anbieterkennzeichnung beruht, bekannt sein; ist diese absent, so setzt sich der Webseitenbetreiber dem Risiko einer Abmahnung aus.
Es scheint ein Paradoxon zu verkörpern: Wie nur sollen Social-Media-Plattformen, welche die Anknüpfung an Gleichgesinnte auf der ganzen Welt ermöglichen und welche der extrovertierten Selbstinszenierung dienen, mit datenschutzrechtlichen Aspekten vereinbar sein? Die Weisheit „Poste nur das, was du auch noch in zehn Jahren über dich im Netz finden möchtest“ scheint längst nicht mehr zu genügen. Bereits im Vorfeld zur Registrierung bei derartigen Netzwerken sollte man sich daher einige Gedanken machen. Ratsam ist es etwa, für jedes Portal eine individuelle E-Mail-Adresse anzugeben. Dies mag zwar einige Zeit in Anspruch nehmen, doch lässt sich eine beachtliche Steigerung der Privatsphäre erzielen. Weiterhin sollte reflektiert werden, ob die Verwendung eines Klarnamens oder eines Pseudonyms bevorzugt wird, wobei jedoch einige Portale – so auch Facebook – die Angabe des echten Namens voraussetzen.
Letztlich sollte man sich im Klaren sein, welches Ziel mit dem jeweiligen Social-Media-Profil verfolgt werden soll: Steht die private oder die geschäftliche Indienstnahme im Fokus? Steht dies erst einmal fest, liegt stets ein Anhaltspunkt zur Orientierung vor.
Schließlich sollte den Privatsphäre-Einstellungen der jeweiligen Plattform Beachtung geschenkt werden. Empfohlen ist das Abstellen der Sichtbar- und Auffindbarkeit des eigenen Profils für Suchmaschinen. Von enormer Relevanz ist zudem das Abschalten der Visibilität der Kontaktdaten: Sofern lediglich die private, nicht aber eine kommerzielle Nutzung vorgesehen ist, sollten diese Informationen nicht für alle abrufbar sein. Entscheidungsmacht besteht auch bezüglich der eigenen gestreuten Inhalte – von Fotos und Bildern über Filme und Texte; manuell lässt sich festlegen, wem diese zugänglich sind.
Beim Posten und Sharing im Netz sollte stets das Urheberrecht mitbedacht werden! Zur Verbreitung fremd erstellter Inhalte bedarf es der vorherigen Einholung der entsprechenden Genehmigung durch den Urheber. Fehlt diese, so liegt ein Verstoß gegen das Urheberrechtsgesetz (UrhG) vor. Auch Fotos, auf denen andere, identifizierbare Personen abgebildet sind, dürfen nicht einfach gedankenlos geteilt werden – das Kunsturhebergesetz (KunstUrhG) verlangt hierbei das Einverständnis aller Abgebildeten. Dies gilt übrigens auch für die Option des „Markierens“ anderer User.
Die technische Errungenschaft der Cloud erlebt derzeit einen regelrechten Boom: Ob nun die Digitalisierung von Daten im Gesundheitswesen oder das Cloud-Computing im Bereich des Smartphones – das onlinegebundene Auslagern von Daten sowie Applikationen etabliert sich sowohl im Privatleben als auch im ökonomischen Sektor. Das Hochladen von Dateien in eine Cloud verkörpert einen Fall der sogenannten Auftragsdatenverarbeitung (ADV) im Sinne des BDSG. Der Gesetzgeber verpflichtet hierbei den Nutzer zur Gewährleistung der entsprechenden datenschutzrechtlichen Vorschriften, nicht aber den externen Dienstleister, also den Cloud-Anbieter. Zur Haftung gezogen wird bei Datenschutzverstößen daher der User, welcher, laut rechtlicher Definition, der sogenannte „Auftraggeber“ ist, der den Cloud-Provider mit der Verwaltung seiner Daten beauftragt.
Mit dem 18. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft und gilt verbindlich für alle EU-Mitgliedsstaaten. Auch der ADV-Vertrag wird hierbei einer verschärften Reglementierung unterworfen, wobei der Auftragnehmer (zukünftig als „Auftragsverarbeiter“ zu bezeichnen) verstärkt haftbar gemacht werden kann.
Die Obliegenheiten gemäß dem BDSG entfallen allerdings, sobald der Anbieter im Wege eines Zertifikats bestätigen kann, dass seine Cloud-Technologie Datenschutz- und Datensicherheitsbestimmungen beinhaltet. Wegen der Vielzahl an diversen Zertifikaten rief das Bundesministerium für Wirtschaft und Energie in Kooperation mit der Stiftung Datenschutz das Zertifikat „Trustet Cloud“ – kurz TCDP. Wählt der User einen Provider mit diesem Zertifikat, so entfallen sämtliche Pflichten nach dem BDSG; eine weitere Überprüfung wird entbehrlich. Grundsätzlich ist bei der Inanspruchnahme von Cloud-Computing zu Folgendem geraten:
Obacht: Die Infrastruktur der allermeisten Anbieter ist in den USA lokalisiert: Ihre Daten landen also dort und unterfallen damit dem Patriot Act, was zur Folge hat, dass sämtliche Daten der US-amerikanischen Regierung zu unterbreiten sind. Sind hiervon personenbezogene Daten Dritter tangiert, so liegt hierzulande ein Verstoß gegen geltendes Datenschutzrecht vor.