Ich muss zugeben, in meinem Freundeskreis bin ich wahrscheinlich der Datenparanoideste. Dabei fing mein Misstrauen nicht erst gestern an, sondern Schuld sind wohl eher die Dystopie-Klassiker „Schöne neue Welt“ und „1984“, die ich in der Schule gelesen habe. Persönliche Daten an zentraler Stelle (ob staatlich oder privatwirtschaftlich) sind niemals sicher und man weiß nicht, was damit jetzt oder irgendwann später passiert. Nachdem bereits 2010 die ersten Berichte über die steigende Macht von Google und Facebook erschienen, fing ich an, meine Onlinennutzung mehr zu hinterfragen. Persönlich finde ich es auch keine gute Entwicklung, dass in Pässen und bei der Gerätenutzung zunehmend biometrische Daten genutzt werden. Einmal gehackt, kann man diese Daten nie wieder ändern. Aber dazu eventuell einmal mehr in einem anderen Post.
Der große Knall kam dann weltweit mit den Snowden-Enthüllungen 2013. Sie führten jedem vor Augen, dass 1) das Internet nichts vergisst und 2) man nicht sicher ist, dass die Daten nur dort landen (und bleiben), wo sie hin sollen (auch wenn manch Politiker uns glauben lassen will, das sei alles nicht so schlimm). Der Dokumentarfilm Citizen 4 zeichnet die Datenübergabe und die Bedeutung der Enthüllungen gut nach. So sind mit den heutigen Systemen automatisierte Datenauswertungen riesiger Datensätze aus unterschiedlichsten Quellen möglich. Es stehen damit quasi erst einmal alle unter Generalverdacht, wenn Daten auf Vorrat gehortet werden für einen eventuell späteren Einsatzzweck. Im Zweifel hat man dann selbst Schwierigkeiten, seine Unschuld gegen die „Fakten“lage eines allwissenden Computers zu beweisen. Das liegt nicht zuletzt daran, dass nur wenige Leute wirklich verstehen, was der Algorithmus eigentlich berechnet und welche Schwächen damit einhergehen. Und das meiste davon wird unter dem Deckmäntelchen „Sicherheit“ für die Bevölkerung eingeführt. Aber auch das ist ein anderes Kapitel.
In der Folge der Snowden-Enthüllungen verlangte Max Schrems Aufklärung von Facebook bezüglich der über ihn gespeicherten Daten und wollte die Verarbeitung der Daten in die USA unterbinden (Zugriff der NSA). Nachdem die Reaktion von Facebook dürftig war und die irische Datenschutzbehörde (Facebook hat seinen Europasitz dort) unter Verweis auf das Safe-Harbor-Abkommen (Europäische Daten seien in den USA sicher) auch untätig blieb, klagte Schrems sein Recht vor Gericht ein. In der Folge entschied der Europäische Gerichtshof, dass das Safe-Harbor-Abkommen hinfällig sei und ein neues datenschutztechnisch besseres Abkommen zwischen der EU und den USA verabschiedet werden muss. Das wurde mit dem „Privacy Shield“ relativ schnell umgesetzt, da sonst rechtlich kein Datenaustausch zwischen den USA und Europa zulässig gewesen wäre. Aber auch dieses Abkommen wird kontrovers diskutiert.
Unabhängig davon gab es bereits vor den Snowden-Enthüllungen Bemühungen in Brüssel eine europaweit einheitliche Datenschutzregelung zu etablieren, was sich als zäh erwies. Durch die Snowden-Enthüllungen und den Rechtsstreit um das Safe-Harbor-Abkommen nahm das Gesetzesvorhaben jedoch Fahrt auf. Mit Jan Philipp Albrecht als Berichterstatter (zentraler Koordinator) für das Datenschutzvorhaben wurde Ende 2015 dann die Datenschutz-Grundverordnung (DSGVO, englisch GDPR) verabschiedet, die nun seit Mai 2018 gilt (eigentlich seit 2016, aber es gab 2 Jahre Übergangsfrist). Wie immer bei solchen Gesetzen gibt es Kritik von allen Seiten; den einen geht es zu weit (vor allem den Firmen), den anderen nicht weit genug. Für alle unter Euch, die mehr über diesen Entstehungsprozess der DSGVO wissen möchten, kann ich die Dokumentation der ARD mit dem Titel „Im Rausch der Daten“ empfehlen.
Unabhängig von Eurer Meinung zur DSGVO. Es gibt einen zentralen Vorteil: Ihr habt ein Recht darauf zu erfahren, welche Daten über Euch von welchen Firmen zu welchem Zweck und wo gespeichert werden. Ihr könnt diese löschen lassen und die Verarbeitung einschränken (gänzlich unterbinden geht nur, wenn ihr den Dienst gar nicht nutzt). Zwar gab es schon vorher die Möglichkeit eine Auskunft nach den alten Datenschutzregeln zu verlangen, aber jedes Land hatte andere Regelungen (für Facebook galt irisches Recht), die auch nicht immer dieselben Rechte für Euch enthielten. Und ganz ehrlich, keiner setzt sich mit 28 verschiedenen Datenschutzgesetzen in verschiedenen Sprachen auseinander. Jetzt gilt also überall dasselbe und dieses Recht sollte man auch ruhig für sich nutzen.
Vorneweg, ich bin kein Jurist und diese Hinweise stellen keine Rechtsberatung dar bzw. ersetzen nicht die Auskunft eines examinierten Juristen. Im Zweifel haltet Ihr Euch am Besten an einen Rechtsanwalt bzw. einen Datenschutzverein!
Mich hat einfach interessiert, was die Firmen, deren Dienste ich nutze (z.B. Bank, Telefonanbieter etc), eigentlich so über mich wissen und mit wem sie das teilen. Also habe ich angefangen diese Firmen anzuschreiben und Auskunft über die zu meiner Person gespeicherten Daten verlangt. Dazu berief ich mich auf Artikel 15 der DSGVO. Eine einfache Email oder Brief an die entsprechende Stelle genügt, z.B.:
„Sehr geehrte Damen und Herren,
ich möchte Sie bitten, mir gemäß Artikel 15 der DSGVO eine Übersicht über die zu meiner Person gespeicherten Daten, deren Verarbeitung und Weitergabe zu übermitteln.“
Wenn Ihr zusätzlich noch Widerspruch gegen die Nutzung Eurer Daten einlegen wollt, zum Beispiel gegen die Nutzung zu Werbezwecken oder gegen die Weiterverarbeitung durch Dritte, dann ist Artikel 21 DSGVO relevant. Bedenkt aber, dass Ihr nicht jede Weiterleitung Eurer Daten an Dritte ausschließen könnt, da die Firma gewisse Daten durch Dritte verarbeiten lässt, um den Vertrag mit Euch erfüllen zu können (etwa Lastschrift des Telefonanbieters). Teilweise ist die Firma auch durch andere Gesetze dazu verpflichtet Eure Daten weiterzuleiten (Geldwäsche) oder es stehen andere Gründe (Stichwort: berechtigte Interessen) gegen Euren Wunsch zur Unterbindung der Weiterleitung bzw. Verarbeitung (z.B. zur Beurteilung Eurer Solvenz).
Ich habe deswegen in meine Anfrage auch gleich den Widerspruch eingefügt, z.B. so:
„Darüber hinaus bitte ich Sie gem. Art 21 DSGVO in Zukunft von der Erhebung, Verarbeitung und Weitergabe nicht geschäftsrelevanter personenbezogener Daten, insbesondere zu Werbezwecken, abzusehen und bisher dafür verwendete Daten zu löschen. …“
Diese Standardanfrage schickte ich an sämtliche Dienstanbieter, die ich nutze; Banken, Mobilfunkanbieter, Onlinehändler, Airlines, Bahn, Versicherung…. Zusätzlich gibt es noch ein paar Dienste, die man eigentlich nicht nutzt, die aber trotzdem die Daten bekommen, weil Euer Dienstanbieter daran ein berechtigtes Interesse hat. Das sind vor allem Scoring-Unternehmen, wie die SCHUFA, Infoscore, Crif Bürgel, die mit den Daten einen Score (Wert) über Eure Solvenz errechnen.
Leider sind die Score-Berechnungsverfahren nicht so wirklich transparent, weshalb es gegen diese Firmen auch lauter werdenden Protest gibt. Die meisten werden sich wahrscheinlich gar nicht erinnern, dass Sie bei Vertragsabschluss mit einem Anbieter die Erlaubnis zur Weiterleitung an diese Unternehmen erteilt haben. Das ist aber kein Problem, denn sobald Ihr Eure Aufstellung über die verarbeiteten Daten von dem einen Unternehmen habt, seht Ihr auch welche Daten an wen weitergegeben wurden. So könnt Ihr dann dort auch ein Auskunftsersuchen stellen und die Nutzung zu Werbezwecken unterbinden.
Ihr werdet höchstwahrscheinlich einen riesigen Papierberg bekommen (oder bei manchen Onlineanbietern eine größere zip-Datei). Bei mir ist es inzwischen ein ganzer Ordner voll mit den Auskünften. Das erschlägt einen erstmal, aber hat auch ein Gutes: Ihr bekommt einen plastischen Eindruck davon was alles an Daten über Euch erhoben wurde und wird. Sonst ist das ja immer etwas abstrakt. Zudem seht Ihr wer mit wem zusammenarbeitet. Je nachdem wie Ihr das findet, könnt Ihr Euer zukünftiges Handeln danach ausrichten und versuchen sparsamer mit Euren Daten umzugehen.
Der Post ist jetzt doch etwas länger geworden, als geplant und ihr fragt Euch vielleicht, was Euch das in Sachen Digitale Souveränität hilft?
Ich finde das hängt alles zusammen und jeder hat andere Treiber. Ich verstehe unter Digitaler Souveränität, dass man sich kritisch mit seiner Nutzung und seinem Verhalten im digitalen Raum auseinandersetzt. Das setzt voraus, dass man die Hoheit über sein Tun und das, was man dabei hinterlässt, innehat. Und gerade der letzte Punkt wird in meinen Augen durch die DSGVO gestärkt. Ihr bekommt das Recht zu sehen, was das eigene Tun an digitalen Spuren hinterlässt. Diese Spuren hätte man Euch freiwillig wohl eher nicht gezeigt. Natürlich gilt die DSGVO nicht nur im Online-Bereich, aber gerade dort ist das Datensammeln ja auch viel einfacher, als analog mit Zetteln. Zudem erhält man durch die DSGVO die Möglichkeit, Rechte anderer (zumindest teilweise) einschränken zu lassen.
Ausgehend davon kann man dann bewusst entscheiden, was man wie nutzen möchte. Klar, wem das alles egal ist und für wen das Positive der Dienste alles andere überwiegt, den wird es nicht interessieren, was gespeichert wird. Er wird sowieso nichts verändern wollen.
Aber wen zum Beispiel ein leicht ungutes Gefühl bei den ganzen digitalen Versprechungen beschleicht oder wer wegen seiner Online-Nutzung körperlich mit Unruhe reagiert und auch schlechter abschalten kann, für den kann der „schwarz auf weiß“-Beweis über die gespeicherten Daten ein zusätzlicher Anstoß für Veränderungen sein. Welche Form von Veränderung man dann umsetzen möchte, kann jeder für sich selbst entscheiden. Man muss ja nicht gleich das Smartphone und seinen Computer aus seinem Leben verbannen; mal abgesehen davon, dass man dann in unserer heutigen Gesellschaft fast nicht mehr überlebensfähig wäre. Dem einen reicht es vielleicht schon alternative Dienste zu nutzen, die weniger Daten sammeln und/oder sie weniger verarbeiten und nicht weitergeben. Andere hingegen möchten vielleicht eine radikalere Veränderung mit Verzicht auf bestimmte Dienste und der Einschränkung der Nutzungszeit (Digital Detox). Für was auch immer man sich am Ende entscheidet, wichtig aus meiner Sicht ist, dass man sich damit auseinandersetzt und auch scheinbar gesetzte Standards – wie Whatsapp – kritisch hinterfragt. Idealerweise hinterlässt man in der Folge seiner Überlegungen weniger Spuren und hat gleichzeitig weniger Aufmerksamkeitsstörer.
In diesem Sinne: Zahlreiche (Online-)Dienste helfen uns im Leben bei der Erledigung von Sachen. Aber viele Anbieter verfolgen natürlich auch eigene Vorstellungen, die nicht unbedingt Euren Interessen entsprechen. Deswegen hilft es, sich einen Überblick über all die Daten zu verschaffen, die ihr gewollt oder ungewollt hinterlasst. Mithilfe der DSGVO habt ihr nun europaweit ein Recht auf Dateneinsicht und Einschränkung gewisser Verarbeitungszwecke. Dieses Recht kann Euch dabei helefen, Euer bisheriges Nutzungsverhalten kritisch zu beleuchten und eventuell zu verändern.