50 Internet-Mythen
IFG UNO
Mythos #47 Kapitel V

Mythos #47: Beim Datenschutzrecht geht es um die Kontrolle von Daten.
Maximilian von Grafenstein

Mythos: Beim Datenschutzrecht geht es um die Kontrolle der Daten. Dies kommt bereits im Begriff des „Datenschutz“-Rechts und in dem oft gehörten Satz zum Ausdruck, dass Einzelne „ein Recht darauf haben, über die Offenlegung und Nutzung ,ihrer‘ Daten zu bestimmen“. Ein besonders deutliches Beispiel dafür ist der Glaube, dass jede Art personenbezogener Daten nur verarbeitet werden darf, wenn die Personen (auf die sich die Daten beziehen) ihre Zustimmung gegeben haben.

 

Stimmt’s? Der Mythos, dass Einzelne das Recht haben, „ihre“ personenbezogenen Daten (anstelle der durch die Datenverarbeitung verursachten Risiken) zu kontrollieren, beruht auf einer sehr intuitiven Sicht: Wenn ich die mich betreffenden Daten auf die eine oder andere Weise kontrollieren kann, kann ich auch das Risiko eines Missbrauchs der Daten kontrollieren. Allerdings führt die Fokussierung auf die Daten an sich sowohl in der Praxis als auch in der Theorie oftmals dazu, dass das eigentliche Problem, nämlich das Risiko des Missbrauchs, übersehen wird. Dies wiederum führt zu einem sowohl übertriebenen als auch wirkungslosen Schutz – ein tragisches Ergebnis. Dies lässt sich anhand zweier Beispiele veranschaulichen:

Im Datenschutzrecht wird die Zustimmung einer Person oft als zentrales normatives Instrument zur individuellen Selbstbestimmung in einer digitalisierten Welt verstanden. Andererseits herrscht jedoch weitgehend Einigkeit, dass die Zustimmung in ihrer derzeitigen Form dieses Ziel in der Praxis nicht erreicht. Statt Internetnutzer*innen eine selbstbestimmte Entscheidung zu ermöglichen, müssen sich diese täglich durch eine Vielzahl von Einwilligungsformularen durcharbeiten, die sie in der Regel (ungelesen) wegklicken. Es gibt viele Gründe für diese sogenannte Zustimmungsmüdigkeit. Ein wichtiger Grund ist jedoch, dass man allem und nichts zustimmt: Überall wird eine Zustimmung verlangt, während die Folgen der Zustimmung (d. h. die tatsächlichen Risiken) im Dunkeln bleiben.

Eng verbunden mit diesem Phänomen ist die Überflutung des Einzelnen mit Informationen, die aufgrund von Transparenzvorschriften im Datenschutzrecht gegeben werden. Diese Informationen konzentrieren sich häufig auf die von Bürger*innen gesammelten Daten, während die Folgen ihrer Verarbeitung vage bleiben. Darüber hinaus werden dermaßen viele Daten gesammelt, dass die Bürger*innen den Wald vor lauter Bäumen nicht mehr sehen und sich fragen: Welche Art von Informationen sind für mich relevant? Die Fokussierung auf Daten statt auf datenverarbeitungsbezogene Risiken für den Einzelnen verwirrt den normalen Nutzer*innen somit und lenkt durch theoretische Schutzkonzepte vom eigentlich Relevanten ab.

In den jüngeren Diskussionen läuft dieser Aspekt sogar Gefahr, auf neue progressive Ansätze angewandt zu werden, die das Problem auf einer eher strukturellen Ebene lösen wollen: So könnten beispielsweise Datentreuhänder*innen Datenschutzrechte im Auftrag von Bürger*innen durchsetzen, wobei ein noch weiter gehender Ansatz besagt, dass Bürge*innen ein Eigentumsrecht an „ihren Daten“ haben sollen, um so besser von den Daten profitieren zu können (beispielsweise durch den Verkauf ihrer Daten). Diese neuen Konzepte müssen jedoch scheitern, solange das eigentliche Problem nicht gesehen wird, nämlich das Risiko des Datenmissbrauchs.

 

Stimmt also nicht! Das Datenschutzrecht regelt die Risiken für Personen, die durch die Verarbeitung von Daten (und nicht durch die Daten als solche) entstehen. Dieser Unterschied mag gering erscheinen, hat jedoch weitreichende Auswirkungen auf die Grenzen des Schutzauftrags. Um datenschutzrechtliche Instrumente wie die Einwilligung einer Person und Maßnahmen zur Transparenz wirksam umzusetzen, muss man sich stets auf die Folgen der Datenverarbeitung konzentrieren.

 

Quelle: Maximilian von Grafenstein, The Principle of Purpose Limitation in Data Protection Laws: The Risk-Based Approach, Principles, and Private Standards as Elements for Regulating Innovation (Baden-Baden: Nomos, 2018).