Internet-Law

Onlinerecht und Bürgerrechte 2.0

2.4.11

Das Datenschutzproblem

Die sehr instruktiven Vorträge auf dem heutigen LawCamp zum Datenschutz haben mir erneut vor Augen geführt, woraus das fortwährende Spannungsverhältnis zwischen Internetkommunikation einerseits und dem geltenden Datenschutzrecht – nach Lesart der Datenschutzbehörden – resultiert.

Das heutige Datenschutzrecht fußt, trotz zahlreicher Änderungen, letztlich auf Vorstellungen aus den 70’er und 80’er Jahren, die von Großrechnern in Rechenzentren geprägt sind. Heute geht es allerdings um die zeitgemäße Nutzung des Internets, die u.a. durch Social Media, durch Affiliate-Programme und Cloud-Computing bestimmt wird. Darauf sind die Vorschriften des BDSG nicht ausgerichtet, weshalb sie auch keine Antworten auf die hieraus resultierenden Fragestellungen bieten. Würde man das geltende Datenschutzrecht tatsächlich eng und konsequent anwenden, dann müsste Deutschland offline gehen. Würde man das Massenhosting den Anforderungen der Auftragsdatenverarbeitung nach § 11 BDSG unterwerfen, wie einige Datenschutzbehörden meinen, und jede Datenübermittlung an die USA tendenziell als Rechtsverstoß betrachten, wie der Düsseldorfer Kreis meint, dann würde es in Deutschland keine Websites mehr geben und Google und Facebook wären nicht verfügbar.

Wenn die Vertreterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) Ninja Marnau auf die Frage, ob Sie denn eine datenschutzkonforme Lösung für das Cloud Computing darstellen könne, ernsthaft antwortet, man würde daran arbeiten, was allerdings noch ca. drei Jahre dauert, dann ist damit eigentlich alles gesagt. Die Datenschützer haben keine Antwort auf die Frage, wie man das Internet tatsächlich zeitgemäß und datenschutzkonform nutzen kann. Sie scheitern zudem an ihren eigenen hohen Maßstäben, was die Inkonsequenz ihrer eigenen Positionen unterstreicht.

Man wird früher oder später an einem Reality-Check nicht vorbeikommen. Wollen wir eine konsequente Beibehaltung des bisherigen Datenschutzrechts und -niveaus oder wollen wir das Internet zeitgemäß nutzen? Beides gleichzeitig ist nicht denkbar, was offenbar aber noch nicht alle verstanden haben. Die derzeitige Situation ist dadurch gekennzeichnet, dass das Datenschutzrecht nicht fit für das Internetzeitalter ist und viele real existierenden Dienste, die von Millionen Bürgern und Unternehmen genutzt werden, nicht datenschutzkonform sind. Jedenfalls nicht, wenn man das Verständnis der berufsmäßigen Datenschützer zugrunde legt.

Das führt zur Entstehung von Post-Privacy-Bewegungen, die weit über das Ziel hinaus schießen, aber letztlich zu Recht den derzeitigen Zustand beklagen. Wir können uns also weiterhin etwas vormachen oder endlich eine offene Bestandsaufnahme durchführen.

posted by Stadler at 20:05  

26 Comments

  1. Ich erlaube mir einmal, auf meinen eigenen Beitrag zum Thema hinzuweisen:

    http://www.tauss-gezwitscher.de/?p=2240

    Ich sehe 2 Probleme, die in der Debatte nicht hinreichend berücksichtigt werden:

    1. Datenschutz ist für mich zuförderst Schutz der Persönlichkeitsrechte. Dieser Schutz ist gerade angesichts der Bahn-, Lidl-, Telekom etc. Skandale nicht obsolet. Daran ändert auch das Internet nichts.

    2. Dem Datenschutz die Folgen von politisch gewollt unterbliebenen Reformen anzulasten, halte ich für problematisch. Auch die „berufsmäßigen“ Datenschützer verweisen seit Jahren auf die Notwendigkeit von Reformen bis hin zu gesetzlichen Ansprüchen zur Anonymisierung und Pseudonymisierung, technischem (System-) Datenschutz und Datenschutzaudit

    Comment by tauss — 2.04, 2011 @ 22:37

  2. Kleine Anmerkung: Das Internet besteht nicht nur aus Facebook & Co.; Google etc. sind heutzutage ein wichtiger Bestandteil, aber es gab (und gibt) ein Internet auch ohne „World Wide Web“ (heute ein eher schwammiger Begriff).

    So viel zum „Abschalten“.

    Wie man internationale (Mindest-)Datenschutzstandards durchsetzt ist eine andere Frage.

    Comment by Ursula von den Laien — 2.04, 2011 @ 22:47

  3. Ja klar, nur 0- und 1-Denke und das von einem Anwalt, der sich berufsmäßig fast immer nur in Grauzonen bewegt. Selbst wenn man Google, Facebook und in Amerika gehostetes Cloud Computing abschaltet hat man immer noch ein Internet. Ich kann mich dem mir vorangehenden Post nur anschliesen, das Internet ist nicht gleich WWW. Vor Clouds im aktuellen technischen Rahmen warne ich schon seit einer Ewigkeit eben weil man keinerlei Datenschutz durchsetzen kann – egal nach welchem Standard. Ansonsten kann man im Internet sehr wohl seine Daten schützen in dem man Sie zum Beispiel selbst hostet, das ist kein Hexenwerk und wer sich wundert, dass Facebook nichts mit Datenschutz zu tun hat, der hält die Sesamstrasse wahrscheinlich für eine Wissenschaftssendung.

    Sollte das wahr sein, was sich hier abzeichnet, dass es Menschen gibt, die wirklich den Begriff Internet mit WWW, mit Facebook, Google und Clouds gleich setzen, dann sollten diese Menschen sofort aufhören sich Gedanken über eine Reformierung des Datenschutzes zu machen, denn Sie haben keine Ahnung! Aber das scheint für unsere heutige Zeit ja der Normalzustand zu sein (leider).

    Comment by lfalkenburg — 2.04, 2011 @ 23:00

  4. Dass das BDSG den heutigen Anforderungen nicht mehr genügt ist jedem der sich mit den Konsequenzen einer strengen Auslegung befasst klar. Das Teil ist in vielen Bereichen so realitätsfremd, dass es meiner Meinung nach schlimmer nimmer geht. Das Schlimmere sind noch die Auslegungen des Düsseldorfer Kreis, bei dem man den Eindruck hat er kreist aber vorallem um sich selber und in den 80er Jahren des letzten Jahrhunderts. Aber was soll man bei einem Kreis schon anders erwarten. Wer eine IP-Adresse zwingent zu einem personenbezogenen Datum machen will der demonstriert auf gradezu eklatante Weiße sein nicht Wissen. Lehrer haben das mal sehr treffent formuliert: „Mit dem wass Sie nicht wissen kann die ganze Klasse durchfallen!“

    Comment by Phrixos — 3.04, 2011 @ 00:40

  5. Hi,

    was ist jetzt Dein Punkt?

    Dass sich die „berufsmäßigen Datenschützer“ an die rechtlichen Vorgaben halten?

    Dass das BDSG veraltet ist und nicht mit aktuellen, risikoorientierten Ansätzen arbeitet?

    Dass viele Anbieter sich nicht an die gesetzlichen Vorgaben halten?

    Dass die EU aktuell Projekte zur informationellen Selbstbestimmung im Cloud-Computing fördert und sich engagierte Datenschützer dort intensiv einbringen?

    Ein Reality-Check führt nicht zur Lösung. Es kann doch nicht darum gehen, die aktuelle Situation als neuen Standard festzulegen.

    Wie wäre es mal mit einer konstruktiven Diskussion, wie es sein sollte? Wie ist unser Idealbild einer funktionierenden Umsetzung der informationellen Selbstbestimmung?

    Aus meiner Sicht müssen risikoorientierte Ansätze gestärkt werden, um die „schwarz-weiss“-Argumentation zu personenbezogenen Daten neu aufzustellen.

    Wir bauchen eine Nachweispflicht für messbare Datenschutz- und Sicherheitsprozesse. Wenn mir mein Anbieter konkrete Datenschutzzusagen gibt, dann kann ich damit arbeiten und ggfs. eigene Maßnahmen treffen. Die aktuellen „Verträge“, die ich z.B. mit Massenhostern schließe, sind doch in diesem Bereich komplett inhaltsfrei.

    Also: Wie soll es sein? Wo diskutieren wir das? Welche Mittel nutzen wir, um das Wunschbild zu erreichen?

    Gruß,

    Sven

    Disclaimer: Ich bin Mitarbeiter einer Datenschutzbehörde.

    Comment by Sven Thomsen — 3.04, 2011 @ 07:26

  6. >> was ist jetzt Dein Punkt?
    Ich kann nicht für Thomas Stadler sprechen, aber soweit ich seine Ausführungen verstehe – die recht gut auch meine Sicht wiedergeben – besteht „der Punkt“ gang offensichtlich darin, dass es ein Auseinanderdriften zwischen technologischer Entwicklung und dazu gehörender Gesetzgebung gegeben hat.

    Das ist m.E. nicht zu leugnen – die Ursprünge des heutigen Datenschutzes liegen 30 – 40 Jahre in der Vergangenheit – und übrigens auch nichts Neues in der Rechtsgeschichte. Auch die Straßenverkehrsordnung wurde erst 1934 erarbeitet, lange nach der Erfindung des Automobils und wurde immer wieder einmal an die technischen Gegebenheiten im Automobil und Straßenbau angepasst.

    >> Ein Reality-Check führt nicht zur Lösung.
    >> Es kann doch nicht darum gehen, die aktuelle
    >> Situation als neuen Standard festzulegen.
    Ich weiß nicht genau, wie diese Aussagen gemeint sind. Ich denke tatsächlich, dass – nicht nur beim Datenschutz – ein „Reality Check“ der Lösungsfindung IMMER vorausgehen sollte. :)

    Das muss nicht zwangsläufig heißen, dass „die aktuelle Situation“ als neue Gesetzesvorlage dienen soll. Sie zu ignorieren und auf der Durchsetzung der bestehenden, der gelebten Realität nicht mehr entsprechenden Rechtslage zu bestehen, ist genau so wenig zielführend. Auch diese Grundhaltung ist nicht neu oder revolutionär. Sie ist auch außerhalb technologischer Entwicklungen gelebte Praxis. Im Eherecht gibt es heute beispielsweise kein Schuldprinzip mehr und gleichgeschlechtliche Partnerschaften sind der heterosexuellen Ehe weitgehend gleichgestellt – eine rechtliche Nachbildung gesellschaftlicher Realitäten.

    Was Thomas Stadler lediglich sagt, ist, dass das im Bereich des Datenschutzes ebenfalls passieren muss. Die Gesetzgebung muss reformiert und an die Lebenswirklichkeit angepasst werden.

    Das ist erst einmal eine Feststellung und kein Lösungsvorschlag. Aber es ist eine wichtige Feststellung.

    Diskutiert wird bereits an vielen Stellen. Üblicherweise nehmen nur beide Seiten Maximalpositionen ein. Das führt nicht weiter. Wenn sich beide Seite darauf einigen würden, das Thomas Stadlers Feststellung grundsätzlich stimmt, wären wir einen großen Schritt weiter. Insofern halte ich diesen Beitrag für wichtig.

    Comment by Markus Breuer — 3.04, 2011 @ 08:31

  7. @lfalkenburg @ursula von der Laien
    >> Selbst wenn man Google, Facebook und in
    >> Amerika gehostetes Cloud Computing abschaltet
    >> hat man immer noch ein Internet
    Das mag technisch korrekt sein. Fakt ist, dass für eine inzwischen sehr große Anzahl von Menschen „das Internet“ primär aus Google, Facebook und vll. noch Bild.DE besteht. Ein Großteil der Online-Aktivitäten spielt sich hier ab. Die Zahlen schwanken etwas, aber es ist wohl tatsächlich so, dass in den USA schon mehr als 20% des Internet-Traffics auf Facebook-Seiten geht. Google und YouTube dürften nur knapp dahinter liegen.

    Zig Millionen von Menschen zu sagen, „Euer Internet müssen wir leider abschalten, aber macht euch nichts draus, es gibt noch viele andere schöne Formen“ ist weder praktikabel noch zielführend.

    Da es faktisch zudem wirklich immer sehr schwierig ist, deutsches Datenschutzrecht bei Anbietern außerhalb Deutschlands (oder Europas) durchzusetzen, wäre ein datenschutzrechtlich unbedenkliches Internet eigentlich nur in einem „Deutschen Internet“ realisierbar. Das wäre m.E. keine gute Lösung.

    Comment by Markus Breuer — 3.04, 2011 @ 08:41

  8. Aus dem Text:
    >Würde man das geltende Datenschutzrecht
    >tatsächlich eng und konsequent anwenden, dann
    >müsste Deutschland offline gehen.

    Heisst das,es ist theoretisch moeglich, seinen ISP zu verklagen,nur weil leuten eine verbindung ins Internet ermoeglicht?Das ist doch Paradox….

    Comment by Bjoern S — 3.04, 2011 @ 09:52

  9. Der Datenschutz dient dem gesunden Misstrauen gegenüber privatwirtschaftlichen und staatlichen (und damit in beiden Fällen qua Definition undurchsichtigen) Methoden der Ausleuchtung des Individuums. Die potentielle Ausbeutung dieser Informationen durch monetäre oder staatlich restriktive Methoden ist ein ständig zu bändigendes Schlechtes, das die Freiheit des Einzelnen einschränken kann.

    Nicht der Datenschutz, sondern der Missbrauch des Datenschutzgedankes durch politische Interessen, ist das eigentliche Problem. Weil einige Datenschutz-„Beauftragte“ in der Vergangenheit diesen Missbrauch aktiv mitgestaltet haben, ist es sicher Zeit sich gemeinsam an den wichtigen Kern des Datenschutzes zu erinnern.

    Cloud Computing in einem Web, dass quasi ausschließlich als „corporate sphere“ und nicht als „public and private sphere“ zu verstehen ist, kann mit einem gesunden Misstrauen nicht unkontrolliert akzeptiert werden.

    Anderseits braucht sich auf der politischen Ebene eine neue Brandfläche der Missverständnisse auf. „The right to be deleted“ (verstanden als Recht private Einträge aus kommerziellen Online-Diensten entfernen zu können) und „the right to be forgotten“ (verstanden als Versuch, sämtliche fremde Äußerungen über die eigene Person im öffentlichen digitalen Archiv löschen zu können) werden auf anti-aufklärerische und damit unverantwortliche Weise vermischt.

    Ob beim BMWi oder in Arbeitsgruppen der EU und G8, wird damit – erneut – der Datenschutz als Mittel der Bekämpfung eines offenen und freien Webs (verstanden als digitaler öffentlicher Raum) missbraucht.

    Datenschutz sollte seinen irreführenden Namen ablegen. „Daten“ sind nicht per se ein schützenswertes Gut. Ein Großteil der Daten ist ohne Frage besser frei und offen zu teilen als zu verstecken. Dieses Teilen von Wissen (verstanden als die transparente Kombinationsmöglichkeit von Daten) dient einer funktionierenden menschlichen Gemeinschaft genauso, wenn nicht mehr, wie das Schützen bestimmter Daten.

    Die Offenlegung persönlicher Daten (und deren akkumulierte öffentliche Auswertung) dient einem, nicht immer schmerzfreien, gesellschaftlichen Erkenntnisprozess. Wenn diese Erkenntnisse allerdings zu Betriebsgeheimnissen erklärt und nur nicht-öffentlichen Marketing-orientierten Datenbanken ausgewertet werden, sind die bekannten Schutzmassnahmen mehr als berechtigt.

    Die aktuelle Meta-Diskussion um den Datenschutz ist eine Diskussion über die Grundlagen einer offenen Gesellschaft im digitalen Zeitalter. Hier ergeben sich mannigfaltige Aufgaben, die ein anders verstandener Schutz des/der Menschen im digitalen Zeitalter an uns heranträgt. Wie ein „Beauftragter“ diese Aufgaben erfüllt und ob diese Aufgaben im Kern rechtlicher Natur sein müssen, bleibt zu diskutieren.

    Gleichzeitig muss fairerweise festgestellt werden, dass die akute gesellschaftliche Realität nicht den Entwicklungsstand zeigt, denn einige Datenschutz-Negierende gerne hätten (aber teilweise auch selbst nicht gerecht werden).

    Comment by Jens Best — 3.04, 2011 @ 10:10

  10. Obwohl ich dem @jensbest ja nur selten zustimme …
    >> Datenschutz sollte seinen irreführenden Namen ablegen.
    >> “Daten” sind nicht per se ein schützenswertes Gut
    hier hat er recht. Aber nicht nur in Hinsicht auf den unglücklich gewählten Begriff (im englischen wird ja eh meist das zutreffendere „privacy“ verwendet, das deutlicher ausdrückt, worum es geht).

    Was mir bei der ganzen „Datenschutz“Diskussion oft zu schnell verloren geht, ist die Tatsache, das Datenschutz/Privacy ja keine Primärtugend sondern nur Mittel zum Zweck ist. Dahinter stehen ja höhere Ziele. Datenschutz als Endziel zu behandeln, ist so ähnlich als würde man die Geschwindigkeitsbeschränkungen in der StVO als Selbstzweck sehen. Das sind sie ja nicht. Das eigentliche Ziel ist ja, dass mehr Menschen länger leben.

    Deshalb wäre es erfrischend, wenn man in der ganzen Diskussion über Privacy/Post-Privacy noch einmal wieder darüber nachdenken würde, welchen Zielen diese Regelungen wirklich dienen, und, ob Privacy 1.0 heute wirklich immer noch der beste Weg ist, diese Ziele zu verfolgen.

    Comment by Markus Breuer — 3.04, 2011 @ 10:34

  11. @Jens Best: Ich möchte Dir überhaupt nicht widersprechen, bin mir aber nicht sicher, ob wir gerade über denselben Punkt diskutieren oder Dein Ansatz nicht eher einer abstrakteren Ebene angehört. Mir ging es darum darzustellen, dass die derzeit vorhandenen gesetzlichen
    Regelungen keine Antwort auf die Fragen bietet, die das Netz aufwirft. Henning Krieg hat hierzu auf dem LawCamp eine Frage gestellt, die es sehr gut auf den Punkt bringt. „Ich weiß nicht, wer mit seinem Hoster eine schriftliche Vereinbarung über eine Auftragsdatenverarbeitung ( nach 11 BDSG) geschlossen hat, aber ich habe keine“. Damit ist das derzeitige Dilemma, das die Datenschutzbehörden auslösen, zwar verkürzt, aber prägnant, beschrieben.

    Comment by Stadler — 3.04, 2011 @ 10:40

  12. @Stadler #11

    Auf der Ebene der Paragraphen (und dem Unverständnis über einige davon) kann die Diskussion über das Datenschutzproblem nicht mehr zielführend stattfinden.

    Ich würde meinen Punkt nicht als abstrakt bezeichnen, sondern eher als den Versuch eine neue grundlegende Diskussion über Daten und den Schutz des Einzelnen in einer offenen Gesellschaft in Gang zu bringen.

    Es ist Zeit aus dem Paragraphen-Maschinenraum mal wieder an die frische Luft zu treten und sich zu fragen, wo das Schiff eigentlich hinfährt. Und um im Bild zu bleiben: Auch gleich die Interessen und Gesinnung des Kapitäns zu hinterfragen.

    Comment by Jens Best — 3.04, 2011 @ 11:05

  13. „Das Datenschutzproblem“ besteht aus meiner Sicht weniger darin, dass das Recht mit der technischen Entwicklung nicht mithalten könnte, sondern vielmehr darin, dass aufgrund mangelnder Rechtsdurchsetzung der Datenschutz in der Technikentwicklung der letzten Jahrzehnte kaum Berücksichtigung gefunden hat.

    Konsequenz des Datenschutzes ist es nicht, dass „Deutschland offline gehen“ müsste, sondern, dass Online-Services und andere Anwendungen datenschutzkonform gestaltet werden müss(t)en.

    Das geht, wenn man will. Und oft auch ohne funktionale Einbußen oder Mehrkosten in Kauf nehmen zu müssen. Vielmehr kann dadurch ein Mehr an Sicherheit, Vertrauen und Akzeptanz erreicht werden.

    Die Frage ist schlussendlich also nicht warum das ULD drei Jahre braucht um Cloud Computing datenschutzkonfom zu machen, sondern warum die – durchaus finanzstarken – Cloud-Anbieter den Datenschutz in ihre Angebote nicht von Haus aus eingeplant haben. Sie wären nämlich eigentlich dafür zuständig, und nicht das ULD.

    Comment by Andreas Krisch — 3.04, 2011 @ 13:29

  14. Auch ich glaube, dass das, was wir Datenschutz nennen, grundlegend neu durchdacht werden muss.
    Wir müssen wieder materielle Diskussionen führen und nicht Scheingefechte darum führen, ob eine IP personenbezogen ist oder nicht.
    Meines Erachtens hat sich die Problemlage die letzten 30+ Jahre verschoben: die Konzepte passen nicht, nicht richtig, „knirschen“.
    Siehe
    http://www.fructus-gmbh.de/blog/2011/03/datenschutz-und-privatsphare-herausforderungen

    Comment by Christoph Kappes — 3.04, 2011 @ 15:18

  15. Nice info, very usefull… thanks..:)

    Comment by fajariady — 3.04, 2011 @ 15:35

  16. Danke Thomas,

    diese Diskussion ist überfällig und wir werden sie ja diese Woche auch in Passau führen. Von einigen Kommentaren und auch vom Artikel selbst fühle ich mich allerdings gezwungen, bestimmte Dinge klar zu stellen:

    Der Artikel und auch die Kommentare sind zu fatalistisch. Es wird viel zum Datenschutz im Web gemacht. Siehe die 4 Workshops, die wir gemacht haben und den 5. zu Do-not-track, der jetzt kommt: http://www.w3.org/2011/track-privacy/ Auch das Social Web muss einen verwaltbaren, demokratieverträglichen Datenschutz anbieten (d-cent.org). Wenn die Gesellschaft einen besseren Datenschutz in social networks will, dann wird der auch gemacht und durchgesetzt. Bisher sind die vom Staat gesetzten Rahmenbedingungen aber so, dass der wirtschaftlich gewinnt, der am wildesten und effektivsten sammelt.

    Das ULD ist enorm aktiv, macht mit und hilft uns, aber eben nur das ULD. Die anderen ergehen sich lieber in juristischen Wolken (und Wölkchen), die weder in Kalifornien, noch in Norwegen besondere Aufmerksamkeit erregen. Dabei wäre es sehr wertvoll, wenn sich die Datenschützer tatsächlich an der Diskussion beteiligen würden, anstatt nur ihre Binnenansichten zu pflegen. Aber Vorsicht, der Wind kann rau sein und technische Ahnungslosigkeit führt schnell zu Autoritätsverlust.

    Ein anderer Aberglaube hält sich hartnäckig: Es ist eine Illusion zu glauben, dass man mit weniger Datensammlung gleiche Funktionalität erreicht. Wenn Google die klicks auf die Suchtreffer nicht mehr mit zählt, findet es lange nicht mehr so gut.

    Insofern finde ich es gut, wie hier diskutiert wird: Nämlich sich damit auseinander zu setzen welche Sammlung denn (überhaupt) unsere Persönlichkeit, unsere Meinungsbildung und damit unsere Demokratie gefährden. Dann zu überlegen wie man das abfedern kann. Schliesslich zu fragen, was ist wichtiger, eine bestimmte Funktionalität oder der Schutz der Demokratie. Das ist eine ständige Abwägung, ein bisschen wie im Umweltschutz..

    Comment by Rigo — 3.04, 2011 @ 21:06

  17. Kommentar 15 ist Spam!

    Comment by Kommentator — 3.04, 2011 @ 23:42

  18. Das Gesetz hinkt dem Stand der Technik immer hinterher. Soweit ist das nichts neues und eigentlich weiß jeder bescheid.
    Dieses Beispiel zeigt allerdings wie sehr das Gesetz hinterher hinkt!
    Wenn man bedenkt wie Abhängig wir inzwischen vom Internet sind, wird mir ganz schwarz vor Augen!

    Comment by Largos — 4.04, 2011 @ 04:24

  19. Solange der Widerspruch zwischen dem Verlangen der sog. Bedarfsträger auf invasiven Techniken und den Ansprüchen des Schutzes der Privatsphäre im Netz existiert, brauchen wir über wirksamen Schutz von Persönlichskeitsrechten im Netz nicht reden. Insofern stimme ich Jörg #1 zu 100% zu, dass die Aushöhlung des Datenschutzes politisch gewollt ist. Die Sprüche zum Thema von digitalen Analphabeten wie Aigner und Co. sind eben nicht mehr als pure Lippenbekenntnisse und sind kaum mehr als diffuse Empörung. Ein modernes Datenschutzrecht muss vor allem erst einmal die Recht auf Anonymität und Pseudonymität beinhalten. Alles andere kann gar nicht wirksam sein. Solange bleibt nicht anderes übrig als digitale Selbstverteidigung.

    Comment by fukami — 4.04, 2011 @ 10:19

  20. Wenn Jens Best schreibt, „der Datenschutz dient dem gesunden Misstrauen gegenüber privatwirtschaftlichen und staatlichen (und damit in beiden Fällen qua Definition undurchsichtigen) Methoden der Ausleuchtung des Individuums. Die potentielle Ausbeutung dieser Informationen durch monetäre oder staatlich restriktive Methoden ist ein ständig zu bändigendes Schlechtes, das die Freiheit des Einzelnen einschränken kann“, so trifft das eben nicht zu. Der Datenschutz dient allein dem Recht auf die individuelle informationelle Selbstbestimmung. Ebenso wie ich das Recht habe, meine Daten einem Dritten vorzuenthalten, so habe ich ebenso das Recht, meine Daten offenzulegen.

    Datenschutz ist kein Auftrag zur Bevormundung des Betroffenen, um in seinem Namen „das Schlechte“ zu bändigen, d.h. den schnüffelnden Staat und die monetär orientierte Wirtschaft.
    Weder ist ein Daten erhebender Staat per se „gut“ oder „schlecht“, noch trifft dies auf die Wirtschaft zu.

    Während man allerdings als Betroffener beim Staat, der zur Datenerhebung rechtfertigende Gesetze erlassen kann, weit weniger Möglichkeiten hat, sein Recht auf informationelle Selbstbestimmung durchzusetzen, trifft dies auf die Wirtschaft generell nicht zu. Hier kann ich als Konsument oder Nutzer entscheiden, ob ich den angebotenen Dienst in Anspruch nehmen möchte, oder eben nicht.

    Dass man hier bereits die Argumente führt, ein Internet sei auch ohne „Google“ und „Facebook“ denkbar, da diese nun mal nicht datenschutzkonform seien, zeugt davon, wie weit sich das Datenschutzrecht inzwischen von einem individuellen Schutzrecht zu einem Kampfinstrument gegen ein, durch selbsternannte Wächter identifiziertes, „ständig zu bändigendes Schlechtes“ gewandelt hat.

    Ich reklamiere für mich, als selbstbestimmtes Individuum, das frei entscheidet, inwiefern ich mich aufgeklärt oder dumm der Welt stellen möchte, weiterhin die Datenschleuder Facebook oder die Datenkrake Google nach meinem eigenem Ermessen nutzen zu dürfen. Es ist nämlich mein Recht. Mein Datenschutzrecht.

    Comment by BBQ — 4.04, 2011 @ 10:51

  21. Hallo,

    1. Unterschied Datensicherheit-Datenschutz (DSi-DSu)

    Bei DSi sind externe/interne „Hacker“ die Angreifer, die Organisation dagegen gilt als vertrauenswürdig.
    DSu setzt auf DSi auf. Erklärt aber systematisch zusätzlich die Organisation (Verwaltung, Unternehmen, Institut) zum Angreifer auf die Person.

    2. Ein Neuer Datenschutz muss positiv anstrebbare Konstruktionsziele ausweisen: Die Lösung dafür sind aus der Datensicherheit bekannt: Man arbeite mit Schutzzielen.(Risikoabwägungen, Schutzbedarfssfestellungen, Schutzmaßnahmen).

    2a) Die Schutzziele der Datensicherheit sind um die spezifischen Schutzziele des Datenschutzes zu ergänzen, und diese dann gegenseitig aneinander zu profilieren.

    2b) Die sechs elementaren Schutzziele lauten:
    Datensicherheit (Primat: Sicherer organisierter Betrieb)
    – Verfügbarkeit
    – Integrität
    – Vertraulichkeit
    Datenschutz (Primat: Schutz der Privatsphäre von Personen und Nachweis seitens der Organisationen, dass diese ihre Prozesse beherrschen und an Fairness orientiert sind (sprich: sich nachweisbar! an Gesetze halten))
    – Transparenz
    – Intervenierbarkeit
    – Nicht-Verkettbarkeit
    (Einstieg: Rost, Martin; Bock, Kirsten, 2011: Privacy By Design und die Neuen Schutzziele – Grundsätze, Ziele und Anforderungen; in: DuD – Datenschutz und Datensicherheit, 35. Jahrgang, Heft 1: 30-35)

    3. Die Schutzziele stehen untereinander in einem Spannungsverhältnis. Dieses Spannungsverhältnis ist zunächst rechtlich zu bewerten. Anschließend gilt es, entsprechend technische Schutzmaßnahmen zu ergreifen. Durch Schutziele sind zunächst Risikoabwägungen möglich, bevor angemessene Prozesse regulierbar und Maßnahmen umsetzbar sind.

    4. Zur Übung ist jetzt jeder aufgefordert, die Schutzziele auf Facebook anzuwenden. Merke aus Datenschutzsicht: Facebook ist der Angreifer. Welche Zusicherungen werden seitens Facebook bzgl. Verfügbarkeit, Integrität… des Dienstes gegeben? Die Bilanz ist verheerend. Die Folge wäre aus meiner Sicht:

    a) Feststellen, dass kein legaler Betrieb in Deutschland vorliegt.

    b) Dann Facebook mit Frist auffordern, die Anforderungen nachweisbar zu erfüllen.

    c) Wenn die Anforderungen nicht erfüllt werden, darf ein solcher Dienst in Deutschland nicht genutzt werden. Facebook selber hat dafür zu sorgen, dass Zugriffe aus Deutschland nicht möglich sind.

    d) Wenn Facebook auch diese Anforderung nicht erfüllt, dann… fehlt es mir an Fantasie…, die andere als erwiesenermaßen problematische Grausamkeiten nahelegte.

    Besten Gruß
    Martin

    Comment by Martin Rost — 4.04, 2011 @ 12:03

  22. @BBQ #20

    „dient dem gesunden Misstrauen“ bedeutet nicht automatisch Bevormundung. Da hast du wohl eher das gelesen, was du lesen wolltest und nicht, das was da steht.

    In Absatz 6 und 7 steht übrigens deutlich, dass ich prinzipiell für offene Daten bin, auch im persönlichen Bereich, wenn dies geschützt vor staatlichen und wirtschaftlichen Diskriminierung möglich ist.

    Comment by Jens Best — 4.04, 2011 @ 12:24

  23. „Datenschutz“ ist ein blöder Begriff, weil er die Sache nicht mehr trifft. Aber auch Privacy trifft es nicht und informationelle Selbstbestimmung ist nicht griffig und zu kurz gesprungen.

    Eine freie Gesellschaft braucht den Datenschutz als Treiber und zur Herstellung von fairen! (Macht-) Beziehungen und wahrheitsorientierten Diskursen zwischen BürgerInnen/Individuen und öffentlichen und privaten Organisation. Informationelle Selbstbestimmung wird erst dann Realität, wenn das Machtungleichgewicht zwischen dem Einzelnen und den Googles, facebooks & Väterchen Staat ausgleichbar wird. Dafür müssten zunächst im BDSG oder in einer EU Datenschutz VO die Rahmenbedingungen geschaffen werden. Wir haben derzeit ein Ungleichgewicht, weil das geltende Recht praktisch nicht durchgesetzt wird und Datenschutzrecht nicht global weitergedacht wird. Wir brauchen allerdings auch keine reagierenden Normen, sondern Instrumente, mit denen wir einerseits Datenschutz in die Prozesse bekommen und andererseits diese Prozesse dann messen/prüfen können. Die Datenschutz-Schutzziele von Martin eignen sich da schon ziemlich sehr gut.

    Vielen Dank an Andreas für seinen Hinweis: man kann schon heute Datenschutz auch vernünftig umsetzten, wenn man denn will. Das zeigen Angebote wie das von Ixquick (www.ixquick.com). Aber leider verdienen viele andere mit Datenschutzverstößen noch immer richtig Geld ….

    Comment by Kirsten — 4.04, 2011 @ 13:35

  24. @Thomas Stadler, kurze Frage aus Interesse:

    Markus Kompa schreibt auf seiner Seite unter anderem folgendes:

    Ein ca. einstündiges spontanes Rededuell zwischen dem Kollegen Stadler und einem bekannten Fliesharing-Abmahnanwalt habe ich leider verpasst.

    Quelle: http://www.kanzleikompa.de/2011/04/03/itlawcamp2-in-frankfurt/

    Jetzt die Frage: Existieren diesbzgl. evtl. irgendwelche Aufzeichnungen von diesem „Rededuell“?

    Danke und Gruß, Baxter

    Comment by Baxter — 5.04, 2011 @ 00:08

  25. Solange die EU Bank- und Flugdaten hemmungslos in die USA transferiert, unser Staat Behördendaten an Firmen verkauft, Behördendaten für zweifelhafte Statistiken nutzt etc. solange halte ich den Datenschutz in Deutschland für eine Illusion!

    Große Firmen wie die angesprochenen Lidl, Telekom, Bahn etc. machen genauso was sie wollen wie die großen Internetfirmen Google, Facebook und Co. Von Payback und Bonuskarten brauchen wir gar nicht erst zu sprechen.

    Wann fängt der User an seine angebliche Selbstbestimmung in die Hand zu nehmen und hört auf freizügig massenweise Daten im Internet zu verbreiten?

    Das ist doch alles Heuchelei. Unser Staat verkloppt und nutzt unsere Daten, der Verbraucher gibt sie großen Firmen bereitwillig und auf die kleinen Leute haut man mit der großen Keule drauf.

    Datenschutz sollte für den Staat genauso gelten wie für große und kleine Firmen und Privatleute. Und das ist momentan einfach nicht der Fall. Der nächste Skandal lässt so auf sich warten während am BDSG herum gedoktort wird, weil man mit der rasant entwickelnden Technik einfach nicht mehr nach kommt.

    Datenschutz ist auch Information. Da fängts doch erst mal an.

    Comment by Steffi — 5.04, 2011 @ 14:02

  26. hallo baum

    Comment by gregor — 27.08, 2012 @ 08:52

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.