Stell Dir vor, Du bist in einer Großstadt und hast keine Ahnung von den Verkehrsregeln. Genau so stürzen sich viele Menschen ins Internet – ohne Ahnung von Datenschutz. Dabei muss man auch im Straßenverkehr gar nicht jede Auflage für Gefahrgut-Transporte kennen – ein paar Grundregeln reichen. Und die gibt es auch im Datenschutz.
Vor ein paar Jahren war der Datenschützer Martin Rost einmal beim WebMontag Kiel und hat dort die Grundregeln des Datenschutzes erklärt. Mir hat das damals die Augen geöffnet. Seither bin ich viel entspannter bei dem Thema. Kürzlich habe ich ihn in den WebMontags Online Talk eingeladen, um all das noch einmal zu erklären.
DSGVO in Kurzversion
Grundlage des Datenschutzes ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Die ist im Mai 2018 in Kraft getreten. Sie hat 99 Artikel. Aber in der Kurzform kann man sagen:
- Organisationen dürfen keine personenbezogenen Daten verarbeiten,
- außer sie erfüllen eine von sechs Bedingungen (Die stehen in Artikel 6)
- und sie halten sich an sieben Grundsätze (Die stehen in Artikel 5).
Warum ist das so?
Die Wurzeln des Datenschutzes in Deutschland leiten sich aus dem Grundgesetz ab. Es stellt den Menschen in den Mittelpunkt. Er muss als freier Bürger oder als freie Bürgerin leben können. Deswegen garantiert das Grundgesetz verschiedene Abwehrrechte gegenüber dem Staat.
Der Staat darf uns nicht als Untertanen behandeln, sondern muss sich aus unserem Leben grundsätzlich heraus halten – es sei denn es gibt irgendeinen in einem Gesetz definieren Grund. Deswegen darf der Staat auch nicht einfach alle möglichen Daten über seine Bürger sammeln – so wie es zum Beispiel die DDR gemacht hat. So wie es Überwachungsstaaten tun.
Der Datenschutz soll dafür sorgen, dass der Mensch immer auf Augenhöhe mit Staat, Unternehmen oder anderen Organisationen agieren kann. Keine Organisation hat das Recht, mich auszuspionieren und das erworbene Wissen gegen mich einzusetzen. Stattdessen habe ich die Macht, den Organisationen meine Daten zu geben und auch wieder wegzunehmen.
Wann darf man personenbezogene Daten verarbeiten?
Wenn man sich den Artikel 6 anschaut, kann man genau das erkennen:
- Meine Daten dürfen verarbeitet werden, wenn ich dem einwillige – und auch nur zu dem Zweck, zu dem ich das einwillige.
- Meine Daten dürfen verarbeitet werden, wenn das nötig ist, um einen Vertrag zu erfüllen. Wenn ich Mitglied in einem Verein werde, muss der natürlich wissen, wer ich bin und wie der an seine Mitgliedsbeiträge kommt. Außerdem muss ein Sportverein natürlich wissen, in welcher Sparte ich Sport mache. Der Kleingartenverein muss wissen, welche Parzelle ich gepachtet habe.
- Meine Daten dürfen verarbeitet werden, wenn es ein Gesetz regelt – wenn also demokratisch beschlossen wurde, dass irgendein gemeinschaftlicher Zweck wichtiger ist, als meine individuellen Rechte.
- Meine Daten dürfen verarbeitet werden, wenn jemand ein Interesse daran hat, das schwerer wiegt als mein Schutzbedürfnis. Dann muss er nicht erst fragen. Ein Beispiel: Weil ich ein Interesse daran habe, Artikel in meinem Blog zu schreiben, für die sich Menschen interessieren, darf ich eine Statistik darüber machen, was die Leute interessiert. Wenn ich mich auf diese Daten beschränke! Meine Statistik hier im Blog zählt die Lesezugriffe und speichert auch einige Daten zum Browser. Aber ich habe keinerlei Möglichkeit das irgendwie mit anderen Daten zu verknüpfen, um herauszufinden, wer jetzt konkret auf kaffeeringe.de liest.
Was muss ich bei der Datenverarbeitung beachten?
In Artikel 5 der DSGVO kann man lesen, was man bei der Verarbeitung von personenbezogenen Daten beachten muss:
- Derjenige, dessen Daten verarbeitet werden, muss sicher sein können, dass gut mit seinen Daten umgegangen wird. Er muss wissen, was mit den Daten passiert.
- Die Daten dürfen nur für die festgelegten Zwecke verwendet werden. Ich darf also nicht einfach meine Kundendatenbank weiterverkaufen.
- Es dürfen nur so viele Daten wie nötig verarbeitet werden. Ich darf meine Kundenkartei also nicht mit allerlei Informationen anreichern, die ich im Laufe von Kundengesprächen erfahre.
- Die Daten müssen korrekt sein. Natürlich kann man das nicht immer garantieren. (Ich möchte gar nicht wissen, wo noch überall meine alte Adresse gespeichert ist.) Das bedeutet nur, dass derjenige, dessen Daten verarbeitet werden, das Recht hat, die Daten korrigieren zu lassen.
- Die Daten müssen gelöscht werden, wenn sie für den Zweck nicht mehr nötig sind. Das dürfte der Punkt sein, den die meisten vergessen.
- Die Daten müssen so sicher gespeichert werden, dass sie weder geklaut noch verfälscht werden können.
In den Artikeln 12–23 kann man noch ein paar Spezifizierungen dazu nachlesen. Das ist es schon. Keine Zauberei. Eigentlich nur gesunder Menschenverstand. In Anlehnung an Kants Kategorischen Imperativ könnte man zusammenfassen:
„Gehe immer so mit den Daten von anderen um, wie Du möchtest, dass alle anderen auch mit Deinen Daten umgehen.“
Alternativen?
Nun lese ich manchmal trotzdem, der Datenschutz sei zu kompliziert. Man müsse ihn abbauen – um digitale Produkte entwickeln zu können oder um jetzt in der Corona-Pandemie der Krankheit Herr zu werden.
Ich frage mich dann: Was ist die Alternative zum Datenschutz Europäischer Ausprägung? Was ist die Alternative zu einem Recht, dass den Menschen die Macht gibt, mit großen Organisationen auf Augenhöhe zu agieren? Das bedeutet, den Menschen entweder dem Staat (wie in China) oder wirtschaftlichen Interessen (wie in den USA) auszuliefern.
Natürlich sind viele Menschen auch in der Position eine Organisation zu vertreten: Als Mitarbeiterin in der Verwaltung. Als Unternehmer. Als Mitglied in einem Vereinsvorstand. Klar, kann Datenschutz dann nerven. Aber das soll er auch. Damit Organisationen Menschen als Menschen behandeln und nicht als Objekte – nicht als Untertanen, die man hin und her verschieben kann, nicht als Geld-Kühe, die man melken kann.
Ich finde, der Mensch muss immer der Zweck – nie das Mittel sein – auch in Anlehnung an Kant.
Ist „Datenschutz“ ein guter Begriff?
Im Grunde ist deswegen „Datenschutz“ kein guter Begriff, denn er leitet die Gedanken in die falsche Richtung. Es geht nicht darum Daten zu schützen. Es geht nicht um Datensicherheit.
Auch das englische „Privacy“ – Privatheit oder Privatsphäre – finde ich unpassend. Denn es geht auch nicht um Diskretion. Es geht darum, die Rechte der Menschen zu schützen. Es geht um Macht. Macht in den Händen der Bürgerinnen und Bürger, die sie vertrauensvoll abgeben und wieder zurückholen können.
Video
Wer sich noch einmal die Langform des Gesprächs anschauen möchte, kann das bei YouTube tun. Dort gehen wir auch auf Cookie-Banner und Zoom-Konferenzen ein.
Erst wenn Du das Video startest, werden Daten an YouTube übermittelt. Siehe Datenschutzerklärung
Schreibe einen Kommentar