Eine Fata Morgana aus dem Innenministerium

Wie man eine an sich gute Idee retten könnte.
Seit Monaten kündigt der Bundesinnenminister an, mit Hilfe eines Datenbriefes den Datenschutz stärken zu wollen. Passiert ist bis heute nichts. Er beruft sich dabei auf einen Vorschlag des Chaos Computer Club. Welche Konzeption des Datenbriefes de Maizière vorschwebt ist bis heute vollkommen unklar. Zwischenzeitlich hat sich die Justizministerin von der Idee des Datenbriefes bereits distanziert und übt dabei einmal mehr den Schulterschluss mit den Interessen der Wirtschaft.

Die Idee klingt gut…
Die Idee des Datenbriefes klingt zunächst bestechend. Unternehmen sollen ihren Kunden einmal jährlich von sich aus schriftlich mitteilen, welche Daten sie über diese gespeichert haben. Das verspricht mehr Transparenz und damit mehr Kontrolle über die eigenen Daten.

…aber der Teufel steckt im Detail
Der Weg von einer guten Idee zu einer wirklichen Verbesserung des Datenschutzes und der Bürgerrechte ist jedoch weit. Beim Datenbrief ist er sogar sehr weit. Die konkrete Betrachtung zeigt, dass viele Fragen offen sind: Sollen die Informationen mit der Post kommen? Und dann nur einmal jährlich?
Ein von der Post am Jahresende zugestellter Brief über all das, was diverse Firmen im vergangenen Jahr so alles mit meinen Daten veranstaltet haben, hilft nicht viel weiter. Was nützt mir eine Information zur Verwendungen meiner Daten, die mir erst nach fast einem Jahr bekannt wird?

Wie steht’s mit der Verständlichkeit?
Ein noch grundlegenderes Problem ist der Inhalt des Briefes. Wie konkret sollen die Angaben sein? Die Kenntnis der konkret gespeicherten Daten allein ist zwar notwendig, aber für die Betroffenen bei weitem nicht ausreichend. Erst die Kenntnis des konkreten Verwendungskontextes von Daten und Informationen macht deren Verwendung nachvollziehbar. Erst daraus lässt sich für die Bürgerinnen und Bürger ermessen, welche Risiken sie eingehen, wenn sie den Umgang mit ihren persönlichen Daten bei bestimmten Unternehmen nicht sorgfältig beobachten.

Datenbrief als Sicherheitsleck?
Es stellen sich auch ganz handfeste Datensicherheitsfragen. Allein die Vorbereitung und Erstellung der Schreiben an sämtliche Kunden kann zur Anlage einer neuen Datenbank bei Unternehmen führen. Hacker werden ihre Freude daran haben, diese zu knacken. Außerdem: Wie kann sichergestellt werden, dass der Brief an die richtige Person geht und ausschließlich an sie? Auflistungen aller persönlichen Daten bei einem Unternehmen können in der Summe hochsensible Informationen und Profile enthalten und in den falschen Händen viel Schaden anrichten.

Wer soll das bezahlen?
Bürgerrechte gehen Wirtschaftsinteressen vor. Das ist richtig. Doch sollten wir uns gut überlegen, ob wir gerade Kleinunternehmen, z. B. die Reinigung an der Ecke, die Kundendaten speichert, damit diese nicht bei jedem Reinigungsauftrag erneut angegeben werden müssen, mit einem jährlichen Papierbrief nicht überfordern. Ein derartiger Großversand an alle Kundinnen und Kunden kann erhebliche Kosten verursachen. Was nützt die hehre Verpflichtung zur Information, wenn einer Firma durch die Datenbriefverpflichtung schwer verkraftbare Kosten entstehen.

Bürgerrechtlichen Mehrwert erzeugen
Die Idee des Datenbriefes ist löblich, aber nicht ausgereift. Kein Zweifel: wir brauchen eine verbesserte Transparenz. Weitergehende Informationspflichten können dazu beitragen. Sie können neben die bestehenden Instrumente wie das Auskunftsrecht treten, diese aber nicht ersetzen. Informationspflichten kommt man aber nicht durch jährliche Weihnachtspost nach, sondern durch eine regelmäßige und inhaltlich gehaltvolle Information. Die läuft am besten auf dem Kanal, auf dem Firmen und Kunden ohnehin miteinander kommunizieren. Ein Internetunternehmen kann seine Kunden ständig via Mail oder über Webportale auf dem Laufenden halten, was es über sie weiß und was es mit diesen Daten anstellt. Nur schnelle Information ermöglicht auch schnelle Abhilfe bei möglichem Datenmissbrauch. Webzugriffsmöglichkeiten und Portallösungen bedürften allerdings hoher Zugangssicherungen, um nicht zu Abstrichen bei der Sicherheit der bereitgestellten Daten zu führen. Wer sich nicht oder nicht ausschließlich über das Internet, sondern herkömmlich über Brief, Werbebroschüre oder Katalog an die Kundschaft wendet, kann entweder auf der Empfangsbestätigung, dem Lieferschein oder der Rechnung darüber Rechenschaft ablegen, was er mit den Kundendaten getrieben hat. Ein Verweis auf die ausschließliche Abrufbarkeit der Informationen im Internet sollte für diese Fälle untersagt werden. Wir dürfen Menschen, die von ihrem Recht Gebrauch machen, auf die Nutzung des Internets zu verzichten, nicht an den Rand schieben.
Wichtig ist, dass im Gesetz die regelmäßige Informationspflicht für Firmen beim Verkehr mit ihren Kunden festgeschrieben wird. Die Form, in der das geschieht, kann der Gesetzgeber vorgeben. Kommt die Firma ihrer Pflicht nicht nach, muss sie für diesen Gesetzesverstoß ein Bußgeld bezahlen.
Bei der inhaltlichen Beschreibung der gespeicherten Daten kommt es darauf an, dass der Zweck von Verarbeitungen und deren Relevanz für Entscheidungen über die Betroffenen hinreichend präzise beschrieben und z. B. auch bildlich erläutert wird. Besonders sinnvoll erscheint dies bei komplexen Entscheidungsverfahren wie dem Profiling oder dem Scoring. Die solche Verfahren einsetzenden Unternehmen trifft die Verantwortung, ihren Kundinnen und Kunden die Funktion und die möglichen Konsequenzen dieser Datenverarbeitungen in einfachen und klaren Worten zu erläutern. Echte Transparenz bedeutet Qualität vor Quantität.

So könnte der Datenbrief aussehen:
Der inhaltlich bislang nebulös gebliebene Datenbrief kann nur dann zu einem bürgerrechtlichen Mehrwert führen, wenn er gewährleistet, dass

  • regelmäßig
  • praktikabel auf dem ohnehin genutzten Kommunikationsweg
  • unter Einhaltung eines hohen Datensicherheitsniveaus
  • verständlich erläutert wird,

auf welche Weise Unternehmen mit den über ihre Kunden vorliegenden Informationen umgehen. Mehr Transparenz ist nur ein Baustein eines zeitgemäßen und sachgerechten Datenschutzkonzeptes. Daneben muss Datenschutz durch Technik, Gütesiegel und Auditierungen verbindlich gemacht werden. Außerdem bleibt der Reformbedarf der Datenschutzgesetze bestehen.

Diese Pressemitteilung ist auch auf der Homepage der Grünen Bundestagsfraktion erschienen