Sicherer Hafen und freier Wille - Safe Harbor und der Datenschutz

Sicherer Hafen und freier Wille

Die USA sind kein „sicherer Hafen“ für die Daten europäischer Nutzer. Sagt der europäische Gerichtshof und erntet Begeisterung – bei gegen Facebook klagenden Studenten, bei Journalisten und Politikern. Nur nicht bei mir …

Zur schnellen Einordnung digitaler Themen nutze ich gerne den von mir erfundenen Prantl-Indikator. Der Jurist Heribert Prantl leitet das Ressort Innenpolitik bei der Süddeutschen Zeitung und ist allenthalben in Talkshows präsent. Ich schätze seine Meinung, wenn es um Innenpolitik geht. Nur bei Digital-Themen liegt Analog-Bär Prantl gerne fundamental daneben. Das war schon bei Google Streetview so, beim „Recht auf Vergessen“ oder beim Leistungsschutzrecht. Mein Prantl-Indikator sagt daher: Wenn Heribert Prantl in der SZ bei einem Digital-Thema begeistert ist, ist größte Skepsis geboten.

Prantl-Indikator: Alarmstufe Rot!

Prantls Kommentar zum Safe Harbor-Urteil des EuGH lautet wie folgt: „Das Urteil ist spektakulär. Es ist eine Sensation. Es ist grundstürzend.“ Ach du meine Güte. Alarmstufe Rot.

Wir brauchen hier gar nicht darüber zu diskutieren, dass die Einhaltung höherer Datenschutz-Standards durch Länder wie die USA im Allgemeinen und Geheimdienste im Besonderen schön wäre*. Ich möchte hier vielmehr zweierlei zu bedenken geben, was zeigen soll, dass einseitiger Jubel unangebracht und Differenzierung wünschenswert ist.

Datenschutz? Egal!

Erstens unterstellen die Jubler, dass die Menschen in Europa keine größere Sorge haben als die Sicherheit ihrer Daten im Kontext bestimmter Anwendungsszenarien. Letzteres ist wichtig. Denn dass ich zum Beispiel meine Krankengeschichte oder ein Unternehmen seine Firmendaten vertraulich behandelt wissen will, versteht sich von selbst. Darum geht es aber in diesem Fall nicht. Es geht um Daten, die wir Firmen wie Facebook, Google und Apple anvertrauen, um digitale Plaudereien, Entertainment und ähnliches zu ermöglichen.

Und den meisten Menschen ist die Sicherheit ihrer Daten bei Nutzung von Facebook, Google, Apple & Co herzlich egal. Das belegen viele Statistiken, ganz aktuell zum Beispiel eine Befragung, welchen Unternehmen die Deutschen beim Umgang mit persönlichen Daten vertrauen. Facebook vertrauen nur 9 Prozent, Google 16, Amazon 18 und Apple gerade mal 22 Prozent. 46 Prozent vertrauen dagegen der Deutschen Telekom. Eine verheerende Statistik, die das Ende des Erfolgs amerikanischer Internetfirmen in Europa bedeuten müsste.

Datenschutz und (un)mündige Bürger

Tut sie aber nicht, wie wir alle wissen. Fast alle Deutschen, die sich im Internet bewegen, nutzen die amerikanischen Dienste, und zwar nicht – das zeigt die Befragung – weil sie naiv sind und nicht ahnen, was mit ihren Daten passieren könnte, sondern weil es ihnen offensichtlich nicht besonders wichtig ist. Übrigens haben die Amerikaner auch kein Monopol auf solche Dienste, wie gerne behauptet wird, niemand muss sie nutzen, für alles gibt es europäische und deutsche Alternativen (man denke an Suchmaschinen) – die aber die meisten links liegen lassen: Menschen in Deutschland, die die Google-Suche nutzen: 95 Prozent; Menschen in Deutschland, die dazu gezwungen werden oder keine Alternative haben: 0 Prozent.

Das Lieblings-Argument der Datenschützer in diesem Moment, das aber gerne verklausuliert und selten so explizit formuliert wird, ist: Man muss die Menschen vor sich selbst schützen. Das sehe ich (bei Erwachsenen) komplett anders. Wir schützen auch niemanden davor, Alkohol zu trinken, mit Tempo 230 auf der Autobahn zu fahren oder adipös zu werden. (Ach ja, und selbst die Kombination dieser drei Faktoren ist erlaubt.) Hier rufen alle nach der Freiheit des Individuums, beim Datenschutz hingegen sollen die Nutzer nicht mündig genug sein, selbst zu entscheiden, was sie tun und lassen?

Freude mit Big Data

Zweitens gibt es Menschen, denen die Speicherung und Verarbeitung ihrer Daten in den USA nicht nur egal ist, sondern die damit explizit einverstanden sind. Mich zum Beispiel. Ich profitiere täglich von den Errungenschaften des Internet, beim Einkaufen, bei der Kommunikation, beim Medienkonsum. Und ich akzeptiere gerne, dass man zur Verbesserung dieser Dienste ein wenig mit meinen Daten jongliert.

Nehmen wir den Videostreaming-Anbieter Netflix als Beispiel. In einem Interview hat der Chief Product Officer von Netflix, Neil Hunt, gerade geschildert, wie Netflix sein Programm optimiert, seinen Nutzern persönliche Empfehlungen gibt und eigene Serien produziert: „250 Millionen Mal am Tag drückt jemand auf Play. Diese Klicks verraten sehr viel über einen Menschen.“ Man mag das schrecklich finden und Netflix zum Datenschutz-GAU erklären. Ich finde es großartig. Mit meinen Daten sorge ich dafür, dass ich für kleines Geld ein phantastisches Serien-Angebot bekomme, das mir beste Unterhaltung bietet. Ich möchte bitte, dass das so bleibt. Ich möchte nicht, dass meine Daten in diesem Kontext nicht mehr in den USA gespeichert und verarbeitet werden. Ich möchte nicht zurück zum ZDF-Vorabendprogramm.

Dieses Blog ist übrigens auch in den USA gehostet. Glaube ich zumindest. Wer weiß das schon genau (und wen interessiert das schon?). Ich bin WordPress sehr dankbar für diese tolle, beinahe kostenlose Blog-Software inklusive Speicherplatz und allem Drum und Dran. Auch bei längerem Nachdenken fallen mit beim besten Willen keine Vorteile ein, die ich hätte, wenn dieses Blog in Europa statt in den USA gehostet würde.

Datenschutz wegklicken

Es gibt noch mehr am Safe Harbor Urteil zu kritisieren. So stärkt es die Platzhirsche wie Facebook, Google und Apple, und schwächt Start-Ups und kleinere Anbieter, die es sich schlicht nicht leisten können, redundante Rechenzentren in Europa aufzubauen. Apple speichert heute schon alle iTunes-Daten in Europa – weil sich Apple das leisten kann. Aber lassen wir das …

Wenn Europas Politiker und Richter ihre Bürger nicht wie kleine Kinder bevormunden wollen (was man nicht ganz ausschließen kann), wird es so kommen wie Michael Seemann in seinem lesenswerten Blogbeitrag voraussagt: „Das europäische Datenschutzrecht ist in seinen Grundzügen recht banal. Es geht so: alles ist verboten. Es sei denn, du hast zugestimmt. ‚Informed Consent‘ nennt sich das in der Theorie. Und in der Praxis ist es der ‚ich stimme zu‘-Button, den du immer wegklickst. (…) Das ist meine Prognose: so wird es auch hier kommen. Datenschutz ist, wenn man immer mal wieder was neues wegklicken kann.“

Um darin eine „Sensation“ zu sehen, muss man schon einen sehr merkwürdigen Blick auf die digitale Welt haben.

*Ich habe mich selbst ausführlich dazu geäußert, warum Datenschutz wichtig und Geheimnisse gut sind. Leider wird die lebensfremde EuGH-Entscheidung gar nichts daran ändern, dass ausländische Geheimdienste genau diese Geheimnisse der Bürger nicht achten. Und von wegen „ausländisch“: Auch die deutsche Regierung ist kein Kind von Traurigkeit, wenn es darum geht, ihre Bürger unter Generalverdacht zu stellen.

8 Gedanken zu “Sicherer Hafen und freier Wille

  1. Ganz meine Meinung. Weder muss mich jemand vor mir selbst schützen noch meine Daten vor Firmen – egal welcher Nationalität -, mit denen ich freiwillig Kontakt aufnehme. Sensible Daten? Daten sind allenfalls gegenüber Magneten sensibel. Falls die überhaupt mal ein Mensch zu Gesicht bekommt, was bei Big Data extrem unwahrscheinlich ist, kennt der mich ebensowenig persönlich wie ich ihn. So what?

    Gefällt 1 Person

  2. Lieber Christian,

    vielen Dank für Deinen Beitrag, den ich in großen Teilen gut finde und nachvollziehen kann. Und Prantl-Indikator finde ich sehr geil. Nicht weil ich den Journalist kenne oder gelesen habe, sondern aufgrund der Wortschöpfung ;-)

    In einigen Punkten möchte ich ein wenig ergänzen:

    Du schreibst: „Letzteres ist wichtig. Denn dass ich zum Beispiel meine Krankengeschichte oder ein Unternehmen seine Firmendaten […].“ – das widerspricht sich meiner Meinung nach aber mit „[…] und schwächt Start-Ups und kleinere Anbieter, die es sich schlicht nicht leisten können, redundante Rechenzentren in Europa aufzubauen.“ Cloud-Lösungen insbesondere für o. g. schutzwürdige Daten müssen in Deutschland stehen, da sie sonst nicht unserem Datenschutz unterliegen. Insofern verstehe ich das Urteil eher als Aufforderung an Amazon, Google und Co. hier Rechenzentren zu errichten, die sich mit unserem Recht vertragen. Du kannst gegenüber solchen Internetriesen in USA nichts einklagen, weil Du kein anwendbares Recht findest. Insofern ist die Leistung von Max Schrems gar nicht hoch genug zu bewerten! Hätte Fatzebug die Daten tatsächlich gelöscht und sich die irische Justiz nicht so vehement gegen die Klagen gesperrt, wäre es vielleicht gar nicht so weit gekommen. Das sollte der Vollständigkeit halber auch mal dazu gesagt werden.

    Weiterhin: „Fast alle Deutschen, die sich im Internet bewegen, nutzen die amerikanischen Dienste[…].“ Dem muss ich widersprechen, denn der allergrößte Teil weiß eben nicht, was mit seinen Daten passiert. Und das kann auch keine Befragung vermitteln, da es hier um hochkomplexe mathematische und informationstechnische Themen geht, die nicht mal ansatzweise verstanden sind. Hinzu kommt, und das habe ich in meinem Blogbeitrag (http://wp.me/pSl3C-hm) zur fehlenden Interoperabilität auch schon mal versucht zu erklären, dass sich diese Dienste eine Monopolstellung sichern, indem sie eben nicht mit konkurrierenden Diensten eine Sprache sprechen und so die Anwender mehr oder weniger zwingen, sich auf genau eine Plattform festzulegen (Google nimmt hier historisch gesehen eine gewisse Sonderstellung ein).

    Wenn beispielsweise eine Million Bürger durch einen geheimgehaltenen Störfall radioaktiv verstrahlt werden, und man diese fragt, ob Sie für die vermeintlich billigere Kernenergie sind, dann werden die meisten kein Problem damit haben. Wenn der Störfall dann publik wird, und Du die Befragung abermals durchführst, dann wird das Ergebnis vermutlich ganz anders aussehen. Will heißen, sobald jemand geschädigt ist, wird seine Auffassung eine ganz andere sein, und das ist bei der massiven Datensammelei gar nicht so abwegig (siehe Mac-User und teurere Angebote, Datendiebstähle der Vergangenheit, etc.). Die Leute lesen sich doch noch nicht einmal die Datenschutzbestimmungen durch, sondern geben ihre personenbezogenen Daten und Zahlungsinformationen an Anbieter weiter, die sich einen Scheißdreck um die Datensicherheit kümmern. Also vergiss das Argument, die Leute würden irgendwas wissen. Genau deshalb aber müssen sie durch „vernünftige“ Gesetze geschützt werden.

    Und schließlich: „Zweitens gibt es Menschen, denen die Speicherung und Verarbeitung ihrer Daten in den USA […].“ Na, da stelle ich doch mal die Frage, wieso dann generell Opt-out und nicht Opt-in angeboten wird? Wenn Du mit der Verarbeitung Deiner Daten einverstanden bist, spricht ja nichts dagegen, dass Du dem zustimmst. Aber die Strategie mit der Umsetzung der Zustimmung ist schon perfide und lautet immer: Friss oder stirb. Siehe FatzeBug kürzlich wieder, und die hirnrissige Umsetzung der vermeintlich ratifizierten Cookie-Richtlinie, so dass jetzt alle auf Akzeptieren klicken müssen, wenn sie einen Dienste nutzen möchten, und implizit der Speicherung von Drittanbieter-Cookies zustimmen (wer weiß schon, dass man das im Browser mittels Opt-Out abstellen muss?). Das ist blanke Verarsche und das liegt nicht am Gesetz, sondern an der Überheblichkeit und der technischen Unfähigkeit der Anbieter sowie der Unwissenheit der User.

    Warten wir ab, was sich die Internetriesen wieder als neue Verarsche einfallen lassen, um dem Urteil Rechnung zu tragen ;-)

    Beste Grüße vom Raul

    Gefällt mir

    • Danke für deinen ausführlichen Kommentar!

      Zum Thema Cloud-Lösungen: Ich fände es großartig, wenn wir (und die Datenschützer und überhaupt) mal beginnen würden zu differenzieren. Natürlich gibt es schutzbedürftige Daten, die hochsicherer Lösungen bedürfen und in die „deutsche Cloud“ gehören. Schon von Berufs wegen kenne ich da allerhand Beispiele. Aber nicht alle Daten müssen diesen Schutz genießen. Eine Lohn- und Gehaltsabrechnung ist etwas anders als meine Fotos auf Instagram oder mein Konsumverhalten auf Netflix. Solange aber manche Datenschützer alles, was nicht bei Drei auf dem Baum ist, zu personenbezogenen Daten erklären und reflexartig Schnappatmung bekommen, wenn irgendwelche dieser Daten nicht im deutschen Hochsicherheits-Rechenzentrum gespeichert werden – solange werden wir keine vernünftigen Lösungen finden.

      Was das Thema „Die Menschen müssen geschützt werden“ angeht, werden wir uns wohl nicht einigen. Da bin ich großer Fan des Prinzips Eigenverantwortung, Kind der Aufklärung – und FDP-Wähler ;-) Wie schon geschrieben: Ein Volljähriger darf in Deutschland eigenverantwortlich den größten Unsinn machen, ohne dass ihm jemand reinredet: seine Gesundheit ruinieren, seine Kinder verziehen, das Leben anderer Menschen gefährden, indem er wie ein Vollidiot Auto fährt … Nur im Internet soll Thilo Weichert ihn an die Hand nehmen und immer wieder sagen: „Nein, nein, das darfst du nicht, das hast du nicht richtig verstanden, das entscheide ich für dich!“ Echt nicht. Da fehlt ja auch jede Relation von Ursache und Wirkung. Wir können ja mal eine zynische Liste machen: Linke Spalte: Wie viele reale Opfer das eigenverantwortliche idiotische Verhalten deutscher Volljähriger im Straßenverkehr und bei der Kindererziehung fordert. Rechte Spalte: Wie viele reale Opfer das eigenverantwortliche idiotische Verhalten deutscher Volljähriger im Internet fordert. Eben.

      Und zum dritten Punkt: Friss oder stirb könnte man auch übersetzen mit: Du darfst meine Plattform kostenlos nutzen, aber dafür will ich deine Daten haben. Ist doch ein faires Angebot. Will ich das nicht, nutze ich die Plattform nicht, sondern eine andere oder keine.

      Grüße zurück :-)

      Gefällt 1 Person

      • „Friss oder stirb könnte man auch übersetzen mit: Du darfst meine Plattform kostenlos nutzen, aber dafür will ich deine Daten haben.“ – Das genau ist das Problem: wer ist „ich“? Es ist nie die Seite auf die ich zugreife, sondern es sind Dritte im Hintergrund, die sich mir nicht vorgestellt haben. Sie sammeln auf den Seiten der Anbieter Daten und das ist den Benutzern eben nicht klar!
        Was spricht denn dagegen, bei den Benutzern eine Awareness zu schaffen, indem man sie selbst entscheiden lässt, ob sie durch Drittanbieter Cookies ausgespäht werden wollen oder nicht?
        Warum muss sich der Browserhersteller zum Erfüllungsgehilfen der Werbeindustrie machen und defaultmäßig Drittanbieter Cookies und andere perfide Techniken zum Ausspähen meines Surfverhaltens zulassen?
        Das tatsächliche Bewusstsein der Anwender könntest Du reell nur dann messen, wenn die betroffenen Leute tatsächlich Opt-in machen würden. Dann würdest du erkennen, dass der Nutzen für die Betroffenen recht gering ist, weil die Masse es gar nicht braucht, um ein Angebot zu konsumieren.
        Warum muss außerdem alles kostenlos sein und durch Werbung finanziert? Ich könnte jetzt was von abnehmenden Grenznutzen schreiben, aber das führt zu weit.

        Wir sollten uns echt mal treffen und insbesondere über die FDP reden. Das liegt mir schon lange am Herzen (und das meine ich gar nicht ironisch!) :-)

        Gefällt mir

Und jetzt sag deine Meinung:

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s