zurück 
7.6.2019

Datenverwertung und Datenethik

Spätestens seit die Europäische Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 Geltung erlangte, wächst ein neues Bewusstsein für den Umgang mit Daten heran: Wieviel Schutz brauchen (personenbezogene) Daten in der Datenökonomie, wie sehr "schadet" der Datenschutz den (redlichen) Geschäftsmodellen in der Digitalwirtschaft, die auf die Verwertung von Daten angewiesen sind? Ist unter den Bedingungen der digitalen Transformation sämtlicher Lebensbereiche Datenschutz alleine eine Frage des Rechtsgüterschutzes, den es politisch auszuhandeln gilt, oder hat der Umgang mit persönlichen Daten auch eine ethische Dimension?

Daten als Wirtschaftsgut



Wenn man unter Wirtschaftsgütern sämtliche Güter versteht, die in einem Arbeitsprozess für die Leistungserstellung notwendig sind (Sachgüter, Dienstleistungen, Rechte), dann gehören hierzu in einer zunehmend digitalisierten Wirtschaft auch Daten. Wie bedeutsam Daten als Wirtschaftsgut sind, zeigt nicht zuletzt die Diskussion um das automatisierte und vernetzte Fahren und die mit diesem einhergehenden Fahrzeug-, Fahrer- und Fahrverhaltensdaten. Dies wirft nicht nur Fragen des Datenschutzes und der Rechte zum Zugriff auf diese Daten, sondern auch ethische Fragen auf. So befasste sich schon die Ethikkommission für automatisiertes und vernetztes Fahren mit diesem Komplex. Sie wurde im September 2016 vom Bundesminister für Verkehr und digitale Infrastruktur eingesetzt und legte im Juni 2017 ihren Abschlussbericht vor.[1] Die im September 2018 eingesetzte Datenethikkommission der Bundesregierung greift diese Überlegungen auf und erweitert das Spektrum auf grundlegende Fragen zu Datenrecht, Datenpolitik und Datenethik.

Selbst die Rechtsprechung bezeichnet inzwischen (etwa im insolvenzrechtlichen Kontext) explizit Daten als Wirtschaftsgut und geht überdies davon aus, dass die zunehmende wirtschaftliche Bedeutung von Datenerhebungen auch auf die Entwicklung des Verständnisses des Datenschutzrechts Einfluss nimmt.[2] Schon das bis 2018 geltende Bundesdatenschutzgesetz (BDSG) ging davon aus, dass es einen Markt für personenbezogene Daten geben soll. Paragraf 29 BDSG gestattete nämlich unter bestimmten Voraussetzungen das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen von Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel diente. Bei alledem stellt sich die Ausgangsfrage: Was sind eigentlich "Daten"?

Daten als Rechtsbegriff



Der Begriff "Daten" ist in verschiedenen Rechtsgebieten von Relevanz – zu nennen ist natürlich das Datenschutzrecht, aber auch beispielsweise das Strafrecht. Auch deshalb hat sich noch kein einheitlicher Rechtsbegriff des Datums beziehungsweise von Daten herausgebildet. Aufgrund des Vorschlags für eine europäische Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte[3] könnte der Begriff der Daten auch im Zivilrecht noch größere Bedeutung erlangen.

Unter Daten im kommunikationswissenschaftlichen und auch im technischen Sinne sind die auf einem Datenträger festgehaltenen Zeichen oder Zeichenfolgen zu verstehen. Zeichen sind dabei zunächst interpretationsfreie Elemente der Sprache oder der Schrift, also etwa ein Symbol, eine Zahl oder ein Buchstabe, die sich mit ihrer Fixierung auf einem materiellen Datenträger von gesprochener Sprache und visueller Beobachtung unterscheiden. Dies umfasst die syntaktische, vom Inhalt der Daten losgelöste Ebene.

Begibt man sich hingegen auf die semantische Ebene, misst man den Daten also eine Bedeutung bei, so handelt es sich streng genommen nicht mehr um Daten, sondern um Informationen. Auf dieser Ebene differenziert beispielsweise das Datenschutzrecht etwa über den Begriff der "personenbezogenen Daten". Nur wenn personenbezogene Daten vorliegen, ist das Datenschutzrecht anwendbar und entfaltet seine Schutzwirkung für den Persönlichkeitsschutz. Nach der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: "betroffene Person") beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen oder zu einer Kennnummer oder ähnlichem identifiziert werden kann (Art. 4 Nr. 1 DSGVO). Dabei ist es nicht zwingend notwendig, dass die Informationen, die zur Identifizierung einer Person erforderlich sind, nur einer einzigen Person zur Verfügung stehen müssen.[4] Ein Personenbezug ist daher bereits dann herstellbar, wenn die datenverarbeitende Stelle über rechtliche Mittel verfügt, die es ihr erlauben, den Betroffenen anhand der dadurch erhaltenen Informationen zu identifizieren (etwa über gesetzlich geregelte Auskunftsansprüche gegen Dritte).

Demgegenüber hat der Daten-Begriff bislang noch keinen Eingang ins Bürgerliche Gesetzbuch gefunden. Das ist insofern bemerkenswert, als die unstreitige Bedeutung als Wirtschaftsgut eine Einordnung in das Zivilrecht nahelegt. In diese Richtung geht auch die derzeit heftig geführte Diskussion um ein "Dateneigentum" – also etwa die Fragen, wem die Daten gehören beziehungsweise wem sie zuzuordnen sind.

Daten als Gegenleistung



Der Einsatz von Daten als Wirtschaftsgut birgt für Unternehmen ein enormes Potenzial. Neben der Produktentwicklung und der Produktverbesserung können sie auch der gezielteren Vermarktung von Produkten dienen, wobei hierdurch noch lange nicht sämtliche Einsatzfelder aufgezählt sind. Dabei muss es nicht immer um Profildaten gehen, wie sie bei Suchmaschinen oder in sozialen Netzwerken generiert werden. Auch für kleine mittelständische Unternehmen können Daten als Gegenleistung und damit als Wirtschaftsgut interessant sein. Dabei ist zu differenzieren, wie an zwei Anwendungsfällen gezeigt werden kann.

Anwendungsfall 1: Das Unternehmen S vertreibt Gartenteiche. Über dessen Website ist es möglich, die Gartenteiche auch online zu bestellen. Hierbei muss der Kunde seine persönlichen Daten, beispielsweise Name und Adresse, in eine Maske eintragen und den entsprechenden Teich auswählen, damit der Vertrag erfolgreich abgewickelt werden kann. Die Konfiguration der Gartenteiche erfolgt mittels direkter Kommunikation zwischen Unternehmen und Kunde.

Anwendungsfall 2: Das Unternehmen S möchte nun ein Kundenportal mit einem sogenannten Gartenteichkonfigurator einsetzen. Mithilfe des Konfigurators kann der Kunde bestimmte Daten seines Grundstücks, beispielsweise Angaben über Größe, Form und Hangneigung, eingeben. Außerdem soll der Kunde persönliche Angaben machen, beispielsweise über sein Alter und die Anzahl der im Haushalt lebenden Personen. Hier ist insbesondere anzugeben, ob sich darunter Kinder befinden und wie alt diese sind. Auch Angaben zu einer etwaigen Bepflanzung oder Tierhaltung werden gefordert. Aufgrund dieser Daten wird dem Kunden daraufhin der Gartenteich (einschließlich Zubehör und weiterer Services, beispielsweise Sicherungen zum Schutz kleiner Kinder) angeboten, der am besten zu ihm und seinem Grundstück passt. Anhand der Bepflanzung und Tierhaltung sollen die Intervalle für die Reinigung und Wartung des Gartenteichs bestimmt werden. Neben der Erfüllung auf diese Weise avisierter und assoziierter Kundenwünsche möchte S die eingegebenen Daten seiner Kunden auch für andere Zwecke nutzen, beispielsweise, um seine Produkte zu verbessern oder die Produktpalette an die von den Kunden am meisten nachgefragten Gartenteiche auszurichten. Das Unternehmen ist bereit, dem Kunden für die Preisgabe seiner Daten einen Preisnachlass zu gewähren.

Im Anwendungsfall 1 werden die Daten lediglich zur Vertragserfüllung benötigt, sie bilden dagegen nicht selbst den Gegenstand des Vertrags. Die Erhebung der persönlichen Daten des Kunden und die anschließende Nutzung für eigene Geschäftszwecke ist hierbei ohne Weiteres zulässig, da diese für die Begründung und Abwicklung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich sind (Art. 6 Abs. 1 Satz 1 lit. b DSGVO). Würde der Unternehmer S nicht über die Daten seines Kunden verfügen, wüsste er beispielsweise nicht, an wen der Gartenteich geliefert werden sollte, und die Vertragserfüllung wäre unmöglich. Daher sind die Erhebung und die Nutzung dieser Daten, die allein der Vertragserfüllung dienen, datenschutzrechtlich zulässig.

Im Anwendungsfall 2 erlangen die Daten dagegen einen Gegenleistungscharakter, da dem Kunden im Gegenzug zur Preisgabe seiner Daten ein Preisnachlass gewährt werden soll. Die Bereitstellung der Daten bildet somit bereits eine der Hauptleistungen des Vertrags. Aufgrund des Grundsatzes der Vertragsfreiheit ist die Festlegung von Daten als Gegenleistung grundsätzlich möglich. Diese vertragliche Regelung gewährt dem Unternehmen S ein Zugriffsrecht auf die Daten des Betroffenen, das jedoch aufgrund gesetzlicher oder vertraglicher Vorgaben eingeschränkt sein kann.

Zudem stellt sich – beiden Vertragspartnern – die Frage nach dem Wert der Daten, dessen Bestimmung große Schwierigkeiten bereitet. Dies ist unter anderem dem Umstand geschuldet, dass Daten oft erst durch die nachträgliche Verknüpfung mit anderen Daten an Wert gewinnen. Eine erste Herausforderung wird daher sein, den Preisnachlass anhand der zur Verfügung gestellten Daten zu bestimmen. Überdies müssen zur Wirksamkeit des Vertrags seine wesentlichen Inhalte genau festgeschrieben werden. Dies bedeutet, dass genau festgelegt werden muss, welche Daten für die Gewährung des Preisnachlasses zur Verfügung gestellt werden und was mit diesen Daten geschieht.

Weil die Daten im Anwendungsfall 2 für die Vertragsabwicklung als solche nicht erforderlich sind, bedarf es nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DSGVO) der Einwilligung des Betroffenen. Diese ist neben der bloßen Hingabe der Daten – und neben dem (restlichen) Kaufpreis – als Hauptleistung geschuldet, da eine Verarbeitung der Daten nur bei Erteilung der datenschutzrechtlichen Einwilligung möglich ist. Die Einwilligung muss informiert erfolgen, was bedeutet, dass der Betroffene genau über die Art der preisgegebenen Daten und deren beabsichtigte Verarbeitungszwecke aufgeklärt werden muss. Der Verarbeitungszweck ist daher bereits vorab zwingend festzulegen, weshalb das Unternehmen S von Anfang an wissen muss, für welche Zwecke die Daten verarbeitet werden sollen.

Es ist wichtig, die datenschutzrechtlichen Anforderungen einzuhalten, da die DSGVO für Verstöße empfindliche Sanktionen vorsieht. Für die Verarbeitung personenbezogener Daten ohne Einwilligung des Betroffenen können, sofern die Verarbeitung nicht durch eine gesetzliche Grundlage gedeckt ist, Bußgelder bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden (was freilich nur bei erheblichen Verstößen auch nur annähernd eine solche Größenordnung erreicht).

In diesem Zusammenhang ist zudem zu bedenken, dass sich eine Rückabwicklung des Vertrags, beispielsweise wenn der Gartenteich im genannten Fallbeispiel einen Mangel aufweist, gerade bei Daten als Gegenleistung sehr schwierig gestaltet, da die Daten bereits mit anderen Daten verknüpft sein könnten. Aus technischer Sicht empfiehlt es sich daher, dass der Datensatz stets im Ganzen löschbar bleibt. Insgesamt gilt, bereits im Vorhinein all diese Fragestellungen zu bedenken, um nachträgliche Schwierigkeiten vermeiden zu können.


Wert der Daten



Dass Daten, vor allem im digitalen Raum, einen ökonomischen Wert haben, ist unbestritten. Nicht nur Sachdaten können einen enormen wirtschaftlichen Wert aufweisen. Auch personenbezogene Daten sind oft Teil der Vermarktungsstrategie von Produkten und Dienstleistungen, auch werden sie als eigener Produktionsfaktor bezeichnet. Sie nehmen damit eine wichtige Rolle im Warenzyklus ein. Der ihnen hierdurch zukommende Wert macht sie zudem für den Datenhandel attraktiv. Den wirtschaftlichen Wert von Daten präzise zu bestimmen, stellt jedoch eine große Herausforderung dar.

Durch die doppelte Nutzbarkeit der Daten für die Entwicklung und Vermarktung von Produkten und Dienstleistungen (Gebrauchswert von Daten) entstand auch ein von den Marktmechanismen Angebot und Nachfrage bestimmter Datenhandel. Hierbei werden einzelne (Kunden-)Daten oder Datenpakete entweder zwischen Unternehmen verkauft beziehungsweise gekauft oder diese werden dem Unternehmer von Nutzern im Rahmen der Inanspruchnahme einer IT-Dienstleistung, etwa eines sozialen Netzwerks, zur Verfügung gestellt (Tauschwert von Daten).

Der Gebrauchs- und Tauschwert von Daten rechtfertigt es, ihnen einen Warencharakter zuzuschreiben. Die Annahme eines Warencharakters von Daten findet ihre Bestätigung ebenso im Vorschlag für eine europäische Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte vom 9. Dezember 2015: "In der digitalen Wirtschaft haben Informationen über Einzelpersonen für Marktteilnehmer immer mehr einen mit Geld vergleichbaren Wert. Digitale Inhalte werden häufig nicht gegen Zahlung eines Preises bereitgestellt, sondern gegen Erbringung einer anderen Leistung als Geld, d.h. durch Gewährung von Zugang zu personenbezogenen oder sonstigen Daten."[5]

Datenschutzrecht



Nicht nur dem Anbieter des Gartenteichkonfigurators, bei dem (auch) die Kundendaten zum Vertragsgegenstand werden, stellen sich datenschutzrechtliche Herausforderungen.[6] Auch der Verkäufer beim "klassischen" Vertrieb über einen Online-Shop könnte sich beispielsweise überlegen, ob er dem Käufer via E-Mail-Newsletter oder Telefonanruf nach ein paar Monaten ein Zubehör- oder Ersatzteil anbieten darf. Dies zeigt, dass im Rahmen der hier maßgeblichen Beleuchtung von Daten als Wirtschaftsgut der klare Fokus auf den Kundendaten liegt. Werden Kundendaten als ökonomisch bedeutsame Gegenleistung angesehen, stellt sich in datenschutzrechtlicher Hinsicht das Problem, wie der Grundsatz informationeller Selbstbestimmung zur Geltung gebracht werden kann.

Der Grundsatz der Zweckbindung besagt dabei zunächst, dass die Verarbeitung der Daten nur für die Zwecke erfolgen darf, für die sie auch erhoben wurden und die dem Betroffenen kommuniziert wurden. Daher muss der Zweck auch bereits bei Abschluss des Vertrags festgelegt sein. Greift für die jeweiligen datenschutzrechtlich relevanten Handlungen kein spezifischer Erlaubnistatbestand, sind hierfür nach dem sogenannten Verbot mit Erlaubnisvorbehalt die Einwilligungen der Kunden erforderlich. Diese müssen zu ihrer Wirksamkeit zahlreiche Voraussetzungen erfüllen, die im Einzelnen wiederum Probleme bereiten können:

Zunächst muss eine datenschutzrechtliche Einwilligung stets freiwillig sein. Dies wäre etwa nicht der Fall, wenn personenbezogene Daten verlangt werden, die grundsätzlich nicht für die Erfüllung des Vertrags erforderlich sind (Art. 7 Abs. 4 DSGVO). Damit sieht die DSGVO ein gegenüber den nationalen Vorschriften strengeres Koppelungsverbot vor. Dieses soll vor allem für die Konstellationen gelten, in denen eine Einwilligung in die Datenverarbeitung nicht erteilt werden muss, aber der Betroffene bei Verweigerung der Einwilligung auch keinen Vertrag abschließen kann. So sollte es im Ausgangsfall möglich sein, den Kauf auch ohne Konfigurator abzuschließen. Weiterhin muss der Kunde eine informierte Einwilligung abgeben können. Ihm müssen alle für die Disposition über seine Daten relevanten Informationen bereitgestellt werden.

Darüber hinaus ist die Einwilligung stets frei widerruflich (Art. 7 Abs. 3 DSGVO), hierauf kann der Datengeber auch nicht wirksam verzichten. Sind Daten jedoch nunmehr die Gegenleistung eines Vertrags und wird die Einwilligung nachträglich widerrufen, stellt sich die Frage, wie mit dieser "nachträglichen Nichterfüllung" umgegangen werden muss. Dies ist juristisch umstritten und höchstrichterlich noch nicht geklärt.


Auf dem Weg zum Datenrecht



Als die DSGVO vor etwas über einem Jahr Geltung erlangte, war die Aufregung groß: Vom Bürokratiemonster war die Rede, von Rechtsunsicherheit und Überforderung, besonders bei Vereinen und kleinen Unternehmen. Tatsächlich hatten es die verantwortlichen staatlichen Stellen, allen voran die Datenschutzaufsichtsbehörden, zunächst versäumt, frühzeitig aufzuklären, praktische Tipps zur Umsetzung der DSGVO zu geben und Ängste zu nehmen. Als dies dann im Sommer 2018 nachgeholt wurde, hatte das im Ansatz großartige europäische Regelwerk bereits ein schlechtes Image, das es bis heute nicht losgeworden ist. Der gebetsmühlenartig vorgebrachte Hinweis, eigentlich ändere sich kaum etwas an der bisherigen Rechtslage, nutzt in Zeiten verunklarender Panik in den sozialen Netzwerken eher wenig. Dass nunmehr von Beratung statt Strafen bei Erstverstößen die Rede ist, beruhigt nur wenig, weil sich die Verunsicherung mittlerweile verfestigt hat.

Dabei ist das in der DSGVO normierte, aus der bislang geltenden Datenschutzrichtlinie entwickelte Datenschutzrecht so konzipiert, dass es dem Anliegen einer informationellen Selbstbestimmung der Betroffenen Rechnung trägt, die Verantwortlichen in die Pflicht nimmt, Datenverarbeitung transparent zu machen, und die aufsichtsbehördlichen Instrumente stärkt. So verhängte die polnische Datenschutzbehörde mittlerweile ein Bußgeld von über 200.000 Euro an eine Wirtschaftsauskunftei, ein Krankenhaus in Portugal musste 400.000 Euro zahlen, und in Frankreich wurde Google mit dem bislang höchsten Bußgeld in Höhe von 50 Millionen Euro belegt.

Dass der Schutz personenbezogener Daten und der Privatsphäre dennoch nach wie vor lückenhaft ist, hat andere Gründe: Zum einen gehen viele Betroffene selbst sowohl mit ihren Daten als auch mit ihren IT-Systemen sorglos um; zum anderen ist juristisch noch nicht geklärt, ob die massenhafte Erstellung von Nutzerprofilen mit eher rudimentärer Information für die Betroffenen als Teil redlicher Geschäftsmodelle ("Daten als Gegenleistung") rechtmäßig oder gerade wegen der tendenziellen Intransparenz im Hinblick auf die dahinter stehenden Geschäftsinteressen unzulässig ist. Wie präzise und nachprüfbar müssen die Informationen sein, die ein Unternehmen in Bezug auf die hinter dem Geschäftsmodell verborgenen Modi und Zwecke der Datenverarbeitung den Nutzern mitzuteilen hat?

Genau an dieser Stelle schweigt das geltende Datenschutzrecht. Die in der DSGVO verankerten Prinzipien der Zweckbindung und Transparenz laufen ins Leere, soweit ein Unternehmen mit seinem datengetriebenen Geschäftsmodell vordergründig Zwecke wie Werbung und "Verbesserung des Nutzererlebnisses" angeben kann und nicht zuletzt auch deswegen kaum sanktioniert wird, weil die Nutzer gerade ein solches Geschäftsgebaren fordern oder zumindest hinnehmen. So mag es im Detail kleinere Reformen und Anpassungen des Datenschutzrechts geben. Was – gleichsam als "großer Wurf" – fehlt, ist die Regulierung eines Datenrechts, das sich nicht auf einen mehr oder weniger wirksamen Datenschutz kapriziert, sondern die gesamte Wertschöpfungskette entlang der Datenerfassung und Datennutzung interessengerecht in den Blick nimmt. Auch und gerade das Datenschutzrecht steht einem maßvoll regulierten Datenverwertungsrecht nicht entgegen. In diese Richtung geht auch die Arbeit der Datenethikkommission der Bundesregierung, die bis Oktober 2019 Eckpunkte für ein ethisch verantwortbares Datenrecht entwickelt.

Zumindest in der Theorie wirkt das geltende Datenschutzrecht der DSGVO konsistent. Was allerdings noch aussteht, ist ein Datenrecht, das auch nicht personenbezogene Daten einbezieht. Ein solches Datenrecht würde Phänomene wie Big-Data-Analysen, Cloud-Computing, die Informationsverarbeitung über die Blockchain und vieles andere mehr realistisch einbinden, ohne die notwendige politische Auseinandersetzung um sinnvolle Datennutzung zu unterbinden. Man muss freilich auch konstatieren, dass die Gestaltungsmöglichkeiten des Gesetzgebers im Daten(schutz)recht begrenzt sind, weil Regulierung im Internet auch vor dem Hintergrund internationaler Verflechtungen und autonomer Steuerung der Akteure wenig Durchschlagskraft hat.

Um dies an einem Beispiel zu illustrieren: Sehr viele Services werden heute cloud-basiert angeboten, entsprechende Inhalte auf verteilten Servern bereitgehalten, wo sie die Nutzer orts- und zeitunabhängig abrufen können. Zu den größten Anbietern gehören US-amerikanische IT-Dienstleister, deren Angebote oft wirtschaftlich attraktiv und kundenorientiert sind, sodass sowohl private als auch geschäftliche und gar behördliche Nutzer gerne darauf zugreifen. Weil in den USA aber schon aufgrund vielfältiger Zugriffsmöglichkeiten der Geheimdienste und Sicherheitsbehörden kein dem europäischen Recht vergleichbares Datenschutzniveau herrscht, wird die Nutzung entsprechender Cloud-Services von den Datenschutzbehörden sehr kritisch gesehen. Ein Verbot der Nutzung eines solchen vermeintlich unsicheren Dienstes wird gleichwohl kaum vorgeschlagen, weil es zumindest aus Sicht der Mehrheit der Nutzer keine brauchbare Alternative gibt. Lösungen wie der sogenannte EU-US Privacy Shield (in Ablösung des Safe-Harbor-Abkommens, das der Europäische Gerichtshof 2015 für ungültig erklärt hat) sind zweifelhaft, das Dilemma der unterschiedlichen Rechtskulturen zwischen den USA und der EU im Hinblick auf den Datenschutz bleibt.[7]

Und dies ist durchaus symptomatisch für die Internetnutzung. Bestimmte Verhaltensweisen (wie die Nutzung von Cloud-Services, das Tauschen von Inhalten in sozialen Netzwerken oder die Selbstvermessung über Fitnesstracker) beruhen auf reinen Nützlichkeits- und Bequemlichkeitserwägungen, bei denen das Datenschutzrecht, das Urheberrecht oder der Schutz der Privatsphäre kaum einen Platz finden. Diesen Umstand machen sich viele Anbieter zunutze. Die Menschen nutzen diese Technologien, weil sie nützlich, preiswert, attraktiv und besonders einfach (im Sinne von "plug and play") gestaltet sind. Die Hersteller forcieren die Verbreitung durch ihre Geschäftsmodelle. Dieses System setzt eine erhebliche, permanente und oft unmerkliche Erhebung, Verarbeitung und Übermittlung personenbezogener Daten voraus: Nur so können nämlich der günstige Preis ("Daten als Währung"), der hohe Nutzen ("Mehrwert durch Datenverknüpfung") und damit die starke Verbreitung durch Netzwerkbildung ("kritische Masse") gewährleistet werden. Es lässt sich hier durchaus von einer "Plug-and-play-Falle" sprechen, weil diesem System ein hoher Verführungsgrad innewohnt, der sich auf die Einwilligungsfähigkeit zur Datenverarbeitung auswirkt. Die Datenverknüpfung ist – zum Teil technisch, zum Teil auch durch das Geschäftsmodell bedingt – unmerklich, eine kritische Distanz der Nutzer hierzu weder erwünscht noch praktisch umsetzbar.[8]

Hier gilt es letztlich anzusetzen: Ein wirksamer Datenschutz setzt ein Datenschutzbewusstsein und damit ein hohes, auf ausreichender Sachkenntnis beruhendes Verständnis von Datenverarbeitung voraus. Diese "Digitalkompetenz" gilt es schon früh in den Schulen und dann über (betriebliche) Fortbildung bis ins hohe Alter zu vermitteln. In der Diskussion um "digitale Bildung" ist dies ein wichtiger Punkt.

Datenethik



Nicht zuletzt mit Blick auf die skizzierten Steuerungsdefizite wird über die Frage rechtlicher Regulierbarkeit hinaus auch diskutiert, ob Geschäftsmodelle, die einen schleichenden Verlust an Privatheit zur Folge haben können, überhaupt ethisch verantwortbar sind: Wie redlich ist es, unzählige Internetnutzer in die "Plug-and-play-Falle" tappen zu lassen?

Die Ethikkommission für automatisiertes und vernetztes Fahren hat hierzu in ihrem Abschlussbericht eine Regel formuliert: "Erlaubte Geschäftsmodelle, die sich die durch automatisiertes und vernetztes Fahren entstehenden, für die Fahrzeugsteuerung erheblichen oder unerheblichen Daten zunutze machen, finden ihre Grenze in der Autonomie und Datenhoheit der Verkehrsteilnehmer. Fahrzeughalter oder Fahrzeugnutzer entscheiden grundsätzlich über Weitergabe und Verwendung ihrer anfallenden Fahrzeugdaten. Die Freiwilligkeit solcher Datenpreisgabe setzt das Bestehen ernsthafter Alternativen und Praktikabilität voraus. Einer normativen Kraft des Faktischen, wie sie etwa beim Datenzugriff durch die Betreiber von Suchmaschinen oder sozialen Netzwerken vorherrscht, sollte frühzeitig entgegengewirkt werden."[9]

Hier wird deutlich, dass sich die Möglichkeit einer Verwertung personenbezogener Daten (hier: Fahrverhaltensdaten, Standortdaten etc.) nicht alleine nach dem Datenschutzrecht richtet, dass es also nicht genügt, eine Einwilligung einzuholen. Vielmehr ist das jeweilige Geschäftsmodell zu hinterfragen. Suchmaschinen und soziale Netzwerke entfalten insofern eine normative Kraft des Faktischen, weil sie eine große Verführungskraft zur Inanspruchnahme des Dienstes entfalten und alsdann eine faktische Abhängigkeit der Nutzer herbeiführen. Zunächst werden kostenfrei attraktive Services zur Verfügung gestellt, die von einer großen Anzahl von Personen weltweit genutzt werden, die letztlich nicht mehr auf diese Nutzung verzichten wollen. Dass diese Leistungen mit den eigenen Daten "bezahlt" werden, erscheint wiederum unkritisch, weil die Verwertung der Daten zumeist mit dem werbefinanzierten "Privatfernsehen" verglichen wird.

Dass allerdings die Erzeugung und vielfältige Verwertung von Nutzerprofilen tiefe Einblicke in das Privatleben und die Persönlichkeit gewährt und über die Ermittlung von Nutzerpräferenzen zu Werbezwecken weit hinausgeht, machen sich viele nicht bewusst. Und so erreicht diese flächendeckende Auswertung von Persönlichkeitsmerkmalen eine ethische Dimension. Scheint diese Form der "Selbstausbeutung" bei der Nutzung von Google und Facebook kaum mehr reversibel, soll etwa beim autonomen Fahren verhindert werden, dass die Betroffenen die Hoheit über die vielfältig damit verbundenen Daten aus der Hand geben. Diese Frage ist zukunftweisend: Was beim autonomen Fahren schon vielfältig, aber noch einigermaßen überschaubar ist, verliert im Internet der Dinge vollends alle Konturen. Wenn künftig alles mit allem verknüpfbar ist, sind unbegrenzte Möglichkeiten denkbar, (vermeintlich) nützliche Geräte, Anwendungen und Dienste anzubieten, die "das Nutzererlebnis verbessern". Es kostet nur die Privatheit.[10]
Creative Commons License

Dieser Text ist unter der Creative Commons Lizenz veröffentlicht. by-nc-nd/3.0/ Der Name des Autors/Rechteinhabers soll wie folgt genannt werden: by-nc-nd/3.0/
Autor: Dirk Heckmann für Aus Politik und Zeitgeschichte/bpb.de
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.

Fußnoten

1.
Vgl. Bericht der Ethikkommission automatisiertes und vernetztes Fahren, Juni 2017, http://www.bmvi.de/SharedDocs/DE/Publikationen/DG/bericht-der-ethik-kommission.html«. Der Verfasser dieses Beitrags war Mitglied dieser Ethikkommission. Er wurde zudem 2018 in die Datenethikkommission der Bundesregierung berufen.
2.
Vgl. Landgericht Düsseldorf, Urteil vom 9.3.2016 – 12 O 151/15 – ZD 2016, 231, 233 unter Rn. 62.
3.
Vgl. Europäische Kommission, Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, 9.12.2015, COM(2015) 634 final.
4.
Vgl. Europäischer Gerichtshof, Urteil vom 19.10.2016 – C-582/14 – Breyer/Deutschland Tz. 43.
5.
Europäische Kommission (Anm. 3), S. 18.
6.
Ausführlich hierzu Dirk Heckmann/Martin Scheurer, Datenschutzrecht, in: Dirk Heckmann (Hrsg.), juris Praxiskommentar Internetrecht, Saarbrücken 20196, Rn. 182ff.
7.
Vgl. ebd., Rn. 702ff.
8.
Zur Plug-and-play-Falle vgl. Dirk Heckmann, Persönlichkeitsschutz im Internet, in: Neue Juristische Wochenschrift 36/2012, S. 2631–2635.
9.
Ethikkommission automatisiertes und vernetztes Fahren (Anm. 1), S. 12.
10.
Zu möglichen Schutzkonzepten vgl. Dirk Heckmann, Smart Life – Smart Privacy Management, in: Kommunikation und Recht 1/2011, S. 1–6.

Dirk Heckmann

Zur Person

Dirk Heckmann

ist Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheitsrecht und Internetrecht sowie Leiter der Forschungsstelle für IT-Recht und Netzpolitik an der Universität Passau.
heckmann@uni-passau.de


Nach oben © Bundeszentrale für politische Bildung Zur klassischen Website von bpb.de wechseln