Wozu ist Datenschutz gut?

Stell Dir vor, Du bist in einer Groß­stadt und hast kei­ne Ahnung von den Ver­kehrs­re­geln. Genau so stür­zen sich vie­le Men­schen ins Inter­net – ohne Ahnung von Daten­schutz. Dabei muss man auch im Stra­ßen­ver­kehr gar nicht jede Auf­la­ge für Gefahr­gut-Trans­por­te ken­nen – ein paar Grund­re­geln rei­chen. Und die gibt es auch im Datenschutz.

Vor ein paar Jah­ren war der Daten­schüt­zer Mar­tin Rost ein­mal beim Web­Mon­tag Kiel und hat dort die Grund­re­geln des Daten­schut­zes erklärt. Mir hat das damals die Augen geöff­net. Seit­her bin ich viel ent­spann­ter bei dem The­ma. Kürz­lich habe ich ihn in den Web­Mon­tags Online Talk ein­ge­la­den, um all das noch ein­mal zu erklären.

DSGVO in Kurzversion

Grund­la­ge des Daten­schut­zes ist die Daten­schutz-Grund­ver­ord­nung (DSGVO) der Euro­päi­schen Uni­on. Die ist im Mai 2018 in Kraft getre­ten. Sie hat 99 Arti­kel. Aber in der Kurz­form kann man sagen:

1. Orga­ni­sa­tio­nen dür­fen kei­ne per­so­nen­be­zo­ge­nen Daten verarbeiten, 
2. außer sie erfül­len eine von sechs Bedin­gun­gen (Die ste­hen in Arti­kel 6)
3. und sie hal­ten sich an sie­ben Grund­sät­ze (Die ste­hen in Arti­kel 5).

Warum ist das so?

Die Wur­zeln des Daten­schut­zes in Deutsch­land lei­ten sich aus dem Grund­ge­setz ab. Es stellt den Men­schen in den Mit­tel­punkt. Er muss als frei­er Bür­ger oder als freie Bür­ge­rin leben kön­nen. Des­we­gen garan­tiert das Grund­ge­setz ver­schie­de­ne Abwehr­rech­te gegen­über dem Staat. 

Der Staat darf uns nicht als Unter­ta­nen behan­deln, son­dern muss sich aus unse­rem Leben grund­sätz­lich her­aus hal­ten – es sei denn es gibt irgend­ei­nen in einem Gesetz defi­nie­ren Grund. Des­we­gen darf der Staat auch nicht ein­fach alle mög­li­chen Daten über sei­ne Bür­ger sam­meln – so wie es zum Bei­spiel die DDR gemacht hat. So wie es Über­wa­chungs­staa­ten tun.

Der Daten­schutz soll dafür sor­gen, dass der Mensch immer auf Augen­hö­he mit Staat, Unter­neh­men oder ande­ren Orga­ni­sa­tio­nen agie­ren kann. Kei­ne Orga­ni­sa­ti­on hat das Recht, mich aus­zu­spio­nie­ren und das erwor­be­ne Wis­sen gegen mich ein­zu­set­zen. Statt­des­sen habe ich die Macht, den Orga­ni­sa­tio­nen mei­ne Daten zu geben und auch wie­der wegzunehmen.

Wann darf man personenbezogene Daten verarbeiten?

Wenn man sich den Arti­kel 6 anschaut, kann man genau das erkennen: 

1. Mei­ne Daten dür­fen ver­ar­bei­tet wer­den, wenn ich dem ein­wil­li­ge – und auch nur zu dem Zweck, zu dem ich das einwillige. 
2. Mei­ne Daten dür­fen ver­ar­bei­tet wer­den, wenn das nötig ist, um einen Ver­trag zu erfül­len. Wenn ich Mit­glied in einem Ver­ein wer­de, muss der natür­lich wis­sen, wer ich bin und wie der an sei­ne Mit­glieds­bei­trä­ge kommt. Außer­dem muss ein Sport­ver­ein natür­lich wis­sen, in wel­cher Spar­te ich Sport mache. Der Klein­gar­ten­ver­ein muss wis­sen, wel­che Par­zel­le ich gepach­tet habe.
3. Mei­ne Daten dür­fen ver­ar­bei­tet wer­den, wenn es ein Gesetz regelt – wenn also demo­kra­tisch beschlos­sen wur­de, dass irgend­ein gemein­schaft­li­cher Zweck wich­ti­ger ist, als mei­ne indi­vi­du­el­len Rechte.
4. Mei­ne Daten dür­fen ver­ar­bei­tet wer­den, wenn jemand ein Inter­es­se dar­an hat, das schwe­rer wiegt als mein Schutz­be­dürf­nis. Dann muss er nicht erst fra­gen. Ein Bei­spiel: Weil ich ein Inter­es­se dar­an habe, Arti­kel in mei­nem Blog zu schrei­ben, für die sich Men­schen inter­es­sie­ren, darf ich eine Sta­tis­tik dar­über machen, was die Leu­te inter­es­siert. Wenn ich mich auf die­se Daten beschrän­ke! Mei­ne Sta­tis­tik hier im Blog zählt die Lese­zu­grif­fe und spei­chert auch eini­ge Daten zum Brow­ser. Aber ich habe kei­ner­lei Mög­lich­keit das irgend­wie mit ande­ren Daten zu ver­knüp­fen, um her­aus­zu­fin­den, wer jetzt kon­kret auf kaffeeringe.de liest.

Was muss ich bei der Datenverarbeitung beachten?

In Arti­kel 5 der DSGVO kann man lesen, was man bei der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten beach­ten muss:

1. Der­je­ni­ge, des­sen Daten ver­ar­bei­tet wer­den, muss sicher sein kön­nen, dass gut mit sei­nen Daten umge­gan­gen wird. Er muss wis­sen, was mit den Daten passiert.
2. Die Daten dür­fen nur für die fest­ge­leg­ten Zwe­cke ver­wen­det wer­den. Ich darf also nicht ein­fach mei­ne Kun­den­da­ten­bank weiterverkaufen.
3. Es dür­fen nur so vie­le Daten wie nötig ver­ar­bei­tet wer­den. Ich darf mei­ne Kun­den­kar­tei also nicht mit aller­lei Infor­ma­tio­nen anrei­chern, die ich im Lau­fe von Kun­den­ge­sprä­chen erfahre.
4. Die Daten müs­sen kor­rekt sein. Natür­lich kann man das nicht immer garan­tie­ren. (Ich möch­te gar nicht wis­sen, wo noch über­all mei­ne alte Adres­se gespei­chert ist.) Das bedeu­tet nur, dass der­je­ni­ge, des­sen Daten ver­ar­bei­tet wer­den, das Recht hat, die Daten kor­ri­gie­ren zu lassen.
5. Die Daten müs­sen gelöscht wer­den, wenn sie für den Zweck nicht mehr nötig sind. Das dürf­te der Punkt sein, den die meis­ten vergessen. 
6. Die Daten müs­sen so sicher gespei­chert wer­den, dass sie weder geklaut noch ver­fälscht wer­den können.

In den Arti­keln 12–23 kann man noch ein paar Spe­zi­fi­zie­run­gen dazu nach­le­sen. Das ist es schon. Kei­ne Zau­be­rei. Eigent­lich nur gesun­der Men­schen­ver­stand. In Anleh­nung an Kants Kate­go­ri­schen Impe­ra­tiv könn­te man zusammenfassen: 

„Gehe immer so mit den Daten von ande­ren um, wie Du möch­test, dass alle ande­ren auch mit Dei­nen Daten umgehen.“

Alternativen?

Nun lese ich manch­mal trotz­dem, der Daten­schutz sei zu kom­pli­ziert. Man müs­se ihn abbau­en – um digi­ta­le Pro­duk­te ent­wi­ckeln zu kön­nen oder um jetzt in der Coro­na-Pan­de­mie der Krank­heit Herr zu werden.

Ich fra­ge mich dann: Was ist die Alter­na­ti­ve zum Daten­schutz Euro­päi­scher Aus­prä­gung? Was ist die Alter­na­ti­ve zu einem Recht, dass den Men­schen die Macht gibt, mit gro­ßen Orga­ni­sa­tio­nen auf Augen­hö­he zu agie­ren? Das bedeu­tet, den Men­schen ent­we­der dem Staat (wie in Chi­na) oder wirt­schaft­li­chen Inter­es­sen (wie in den USA) auszuliefern.

Natür­lich sind vie­le Men­schen auch in der Posi­ti­on eine Orga­ni­sa­ti­on zu ver­tre­ten: Als Mit­ar­bei­te­rin in der Ver­wal­tung. Als Unter­neh­mer. Als Mit­glied in einem Ver­eins­vor­stand. Klar, kann Daten­schutz dann ner­ven. Aber das soll er auch. Damit Orga­ni­sa­tio­nen Men­schen als Men­schen behan­deln und nicht als Objek­te – nicht als Unter­ta­nen, die man hin und her ver­schie­ben kann, nicht als Geld-Kühe, die man mel­ken kann.

Ich fin­de, der Mensch muss immer der Zweck – nie das Mit­tel sein – auch in Anleh­nung an Kant.

Ist „Datenschutz“ ein guter Begriff?

Im Grun­de ist des­we­gen „Daten­schutz“ kein guter Begriff, denn er lei­tet die Gedan­ken in die fal­sche Rich­tung. Es geht nicht dar­um Daten zu schüt­zen. Es geht nicht um Datensicherheit. 

Auch das eng­li­sche „Pri­va­cy“ – Pri­vat­heit oder Pri­vat­sphä­re – fin­de ich unpas­send. Denn es geht auch nicht um Dis­kre­ti­on. Es geht dar­um, die Rech­te der Men­schen zu schüt­zen. Es geht um Macht. Macht in den Hän­den der Bür­ge­rin­nen und Bür­ger, die sie ver­trau­ens­voll abge­ben und wie­der zurück­ho­len können.

Video

Wer sich noch ein­mal die Lang­form des Gesprächs anschau­en möch­te, kann das bei You­Tube tun. Dort gehen wir auch auf Coo­kie-Ban­ner und Zoom-Kon­fe­ren­zen ein.