key: cord-0043431-j24hphoi authors: Schaar, Peter title: Datenschutz und Internet – Es ist kompliziert! date: 2020-05-14 journal: Informatik Spektrum DOI: 10.1007/s00287-020-01275-2 sha: 3a0f5c158486bf1761144073f9bf6808d4902624 doc_id: 43431 cord_uid: j24hphoi Angesichts der zunehmenden Bedeutung des Internets für die private, geschäftliche und staatliche Kommunikation werden dessen Datenschutzdefizite systemrelevant. Die damit einher gehenden Risken lassen sich durch datenschutzrechtliche Vorschriften allein nicht beherrschen. Sie müssen ergänzt werden durch informationstechnische Sicherungen, die bereits beim Systemdesign greifen (Privacy by Design). Zudem müssen das Verbraucher- und Wettbewerbstrecht und die Haftungsregelungen der neuen Situation angepasst werden. "Datenschutz und Internet passen nicht zusammen". Leider ist an dieser weit verbreiteten Ansicht mehr als ein Körnchen Wahrheit. Das Internet hat sich rasant zu einem Medium entwickelt, bei dem Überwachung und das Sammeln von Daten über seine Nutzerinnen und Nutzer immer mehr Raum einnimmt. Bei vielen Business-Modellen steht die kommerzielle Verwertung der Nutzerdaten sogar im Vordergrund. Der jeweils angebotene Service wird so gestaltet, dass dabei möglichst viele Daten generiert werden, die sich auswerten und monetarisieren lassen. Die Finanzierungsmechanismen der vordergründig "kostenlosen" Dienstleistungen sind für die Nutzerinnen und Nutzer weitgehend intransparent, genauso wie der konkrete Beitrag, den ihre Daten dabei leisten. Personenbezogene Daten sind die wichtigste Währung, in der wir für die Inanspruchnahme digitaler Dienste bezahlen, aber es fehlt das Preisschild. Anbieter berufen sich auf Betriebs-und Geschäftsgeheimnisse, wenn wir wissen wollen, wie sie mit unseren Daten umgehen und welchen Mehrwert sie daraus schöpfen. Spätestens seit den Enthüllungen von Edward Snowden im Jahr 2013 ist zudem allgemein bekannt, dass staatliche Stellen, allen voran Geheimdienste, das Netz zur globalen, umfassenden Überwachung nutzen (vgl. [1] [2] [3] ). Sie können dabei nahtlos auf die privatwirtschaftliche Datenmaximierung aufsetzen und gelangen zu tiefen Einblicken in unser Verhalten und unsere Persönlichkeit. Der von Shoshana Zuboff geprägte Begriff "Überwachungskapitalismus" [4] beschreibt zutreffend unsere heu-Peter Schaar schaar@eaid-berlin.de 1 Europäische Akademie für Informationsfreiheit und Datenschutz, Berlin, Deutschland tige, zugleich von Kommerzialisierung, Überwachung und individuellem Kontrollverlust geprägte Gesellschaftsordnung. Rein technisch stand schon in den Frühzeiten des Internets nicht die Vertraulichkeit im Vordergrund. Schon in den 1980er-Jahren wurde der Nachrichtenaustausch über das Netz mit dem Versenden einer Postkarte verglichen, bei der jeder am Transport Beteiligte, etwa der Postbote, nicht nur die Absender-und Empfängeradressen, sondern auch den Inhalt mitlesen kann. Und viele erinnern sich noch an die 1993 veröffentlichte Karikatur, in der einem vor einem Bildschirm sitzenden Hund die Worte in den Mund gelegt werden: "On the Internet, nobody knows you're a dog" [5] . Weder die Vertraulichkeit, noch die Integrität und Authentizität der über das Internet übertragenen Informationen waren gesichert. Erst in den späten 1980er-Jahren öffnete sich das Netz allmählich auch nichtuniversitären Einrichtungen. Dies eröffnete viele Chancen für eine technikaktive Protestszene, deren Ausläufer bis in die Gegenwart reichen -wie etwa den deutschen Chaos Computer Club. Es dauerte aber nicht lange, bis sich das Internet immer weiter von einem nutzerorientierten zu einem von geschäftlichen Interessen geprägten Medium wandelte. Immer stärker in den Vordergrund rückt seither die wirtschaftlich motivierte Bereitstellung von digitalen Informations-und Serviceangeboten. Deren Finanzierung unterschied sich zunächst nicht so sehr von ihren analogen Vorbildern, bei denen die Kunden für die jeweils in Anspruch genommene Leistung zu zahlen hatten. Das 1996 entwickelte Hypertext Transfers Protocol (HTTP) ermöglichte es, physisch verteilte Informationen so zu bündeln, dass sie für den Nutzer einheitlich auf einer Webseite präsentiert werden. Damit entstand die Möglichkeit, von externen Dienstleistern bereitgestellte Werbung einzublenden. Diese Dienstleister -etwa das 1995 gegründete und seit 2007 zum Google-Imperium gehörende Unternehmen DoubleClick -waren damit nicht nur in der Lage, anbieterübergreifend Werbebotschaften zu platzieren, sondern können darüber hinaus die Datenabrufe einzelnen Geräten und Nutzern der jeweiligen Webseiten zuordnen. Mithilfe von Cookies konnten aus unterschiedlichen Bereichen stammende Nutzerinformationen zusammengeführt und in Profilen gespeichert werden. Heute ist die exzessive Sammlung aller möglichen Daten über unser Verhalten nicht mehr die Ausnahme, sondern die Regel. Sie beschränkt sich nicht mehr auf die virtuelle Welt sondern erfasst zunehmend auch unser wirkliches Leben. Bisher analoge Geräte werden digitalisiert und vernetzt. Der Bereich, in dem unser Verhalten nicht erfasst, vermessen und beurteilt wird, schrumpft in atemberaubendem Tempo. Es ist nicht die Digitalisierung an sich und auch nicht die Vernetzung, die unsere Selbstbestimmung beeinträchtigen und die Menschen tendenziell zu Marionetten degradieren. Diese Entwicklung ist das Ergebnis einer wirtschaftlichen Verwertungslogik in Bezug auf unsere Daten, die zu einer ungeheuren Wissens-und Machtkonzentration bei wenigen riesigen Unternehmen geführt hat. Das heutige Internet ist -anders als in seinen Anfängen -das Gegenteil einer dezentralen Informationsinfrastruktur und es steht zunehmend unter Kontrolle weniger hochpotenter Player. Daten sind in ungeheurem Umfang außerhalb der Kontrolle der einzelnen Nutzerinnen und Nutzer konzentriert. Die nicht ganz ernst gemeinte Definition, dass sich Cloudservices vor allem darin von klassischen IT-Strukturen unterscheiden, dass die Daten nicht mehr auf dem eigenen, sondern auf einem fremden Computer verarbeitet würden, beschreibt zutreffend einen wichtigen Aspekt der heutigen informationstechnischen Realität, wobei die Kontrolle immer stärker bei wenigen, international tätigen Unternehmen liegt. Allerdings werden auch solche Daten im Interesse der Datenoligopolisten verwendet, die auf dezentralen Geräten gespeichert sind. Die Betreiber von Anwendungsplattformen bestimmen weitgehend, welche Apps zur Nutzung freigegeben werden und welche Informationen sie an wen ausspielen können. Deutlich wurde deren Einfluss jüngst bei der Festlegung der Standards für die Nachverfolgung von Kontakten im Zusammenhang mit der Bekämpfung der COVID-19 Pandemie. Apple und Google -und nicht die Weltgesundheitsorganisation -legten die weltweit für das Contact Tracing gültigen Standards fest. Mag sein, dass das von den Konzernen favorisierte "dezentrale" Verfahren gegenüber dem konkurrierenden "zentralen" Modell datenschutzrechtliche Vorteile ausfweist. Problematisch war aber gleichwohl, dass die entsprechenden Weichenstellungen nicht durch demokratisch oder völkerrechtlich legitimierte Akteure, sondern durch allein über die Marktmacht der Konzerne vorgenommen wurden. Noch bedeutsamer sind die Bemühungen der Internetkonzerne, auch die Kontrolle über die Basisinfrastrukturen des Netzes zu übernehmen, etwa indem sie -und nicht die Telekommunikationsunternehmen -die Nutzer mit dem Netz verbinden. Hinzuweisen ist hier etwa auf das Projekt "Loon" der Google-Mutter-Alphabet [7] zur Versorgung abgelegener Gegenden mit Internet oder das Vorhaben von Amazon, eine globale Internetversorgung über mehr als 3000 Satelliten zu gewährleisten ("Projekt Kuiper") [8] . Auch Facebook ist dabei, wenn neue Märkte erschlossen werden: Das Unternehmen setzt dabei auf Internetdrohnen, die auch in der Wüste und im Dschungel einen Internetzugang ermöglichen sollen [9] . Auch weniger sichtbar, -aber nicht weniger wirksam -erweitern die Konzerne ihre Kontrolle über die Internetinfrastrukturen. So ist der Alphabet im Begriff, sich über den Service "Google Public DNS" [10] noch tiefer in der Infrastruktur des Internets zu verankern. Letztlich versuchen global tätige Unternehmen, ihre jeweiligen Ökotope zu Synonymen des Internets zu entwickeln, eines proprietäre "Internets", in der letztlich nur eine Instanz die vollständige Kontrolle ausübt und damit über den Umgang mit Informationen im wirtschaftlichen Eigeninteresse entscheidet. Das in den 1970er-Jahren in seinen Grundzügen entwickelte moderne Datenschutzrecht sollte negativen Folgen der Digitalisierung entgegenwirken. Ausgehend von dem bereits im 19. Jahrhundert geforderten Privatsphärenschutz (Privacy) [11] übertragen. Allerdings behielt sich die US-Regierung beim Übergang der Verwaltung auf ICANN vor, den Vertrag über die Administration der zentralen Rootzone (IANA-Vertrag) neu auszuschreiben [8] . Angesichts der fortbestehenden US-amerikanischen Dominanz bei der Festlegung der Internetstandards verfolgen verschiedene Staaten -allen voran China -eine Neuordnung der Internet-Governance. Die zentralen Entscheidungen über die Internetstandards sollen bei der Internationalen Fernmeldeunion (ITU) gebündelt werden. Unter dem Stichwort "New IP" sollen zudem staatliche Durchgriffsmöglichkeiten auf nationale Internetsegmente gestärkt werden. In der letzten Dekade ist ohnehin eine Reihe virtueller "Ökosysteme" entstanden, die zwar nicht vollständig autonom agieren, bei denen die Kommunikation und sonstige elektronische Aktivitäten zensiert und überwacht werden. Die Kontrolle der Interaktion von Teilnehmern an einem virtuellen Ökosystem untereinander und mit Akteuren in der Außenwelt unterliegt der Kontrolle durch die Eigentümer bzw. in staatlich kontrollierten Teilnetzen durch staatliche Bürokratien. Es ist zu befürchten, dass sich diese Tendenz weiter verfestigt. Der schon in den 1990er-Jahren feststellbare staatliche Überwachungsdruck auf das Internet verstärkte sich insbesondere nach den islamistisch motivierten blutigen Terror Für Geheimdienste und andere Sicherheitsbehörden wurde das Internet seither zu einem zentralen Operationsfeld. Sie nutzten und nutzen technische Überwachungsmöglichkeiten -vielfach über ihre gesetzlichen Befugnisse hinaus. Die Machthaber autoritärer Regimes -etwa des Iran oder Chinas -unterschätzten zunächst die Möglichkeiten zur zivilgesellschaftlichen Selbstorganisation, welche die neuen, internetbasierten Kommunikationstechniken für ihre Bevölkerung boten. Insbesondere Oppositionelle nutzten die Chancen der unzensierten und weitgehend nicht überwachten Internetkommunikation. Weder der "arabische Frühling" (vgl. [15] ), der zum Sturz mehrerer autokratischer Herrscher führte, noch das zeitgleiche Aufbegehren der iranischen Jugend [16] wären ohne Internet, Facebook und Twitter denkbar gewesen. Andererseits erkannten die Regierenden -sofern sie nicht aus dem Amt gejagt wurden -bald die Überwachungs-, Zensur-und Kontrollmöglichkeiten, die das Netz bietet und sie zögerten nicht, davon Gebrauch zu machen. Deshalb ist kaum damit zu rechnen, dass das Internet in absehbarer Zeit wieder zu einem subversiven Medium wird, das es früher bisweilen war. So hat die chinesischen Regierung im Rahmen des "Golden Shield Projekts" das eigene Internet durch eine virtuelle Mauer weitgehend nach außen abschottet. Ausgangspunkt waren Proteste anlässlich des 20. Jahrestags des Massakers auf dem Platz des Himmlischen Friedens im Juni 2009, bei denen sich Protestler über das Internet vernetzt hatten. Heute ist das chinesische Internet durch eine "Great Chinese Firewall" abgeschottet, die alle unliebsamen Inhalte herausfiltert. Auch die sozialen Netzwerke und Messengerdienste werden vollständig überwacht. Kritische Beiträge werden zensiert, wie etwa kürzlich unliebsame Berichte über den Umgang der Regierung mit der Corona-Epidemie Anfang 2020 [17] . Andere Staaten -Russland, Indien und der Iran, um nur die wichtigsten zu nennen -sind dabei, diesem Beispiel zu folgen. Auch dort wird versucht, vollständige Kontrolle über die elektronische Kommunikation zu erlangen, allerdings bisher noch nicht mit so durchschlagendem Erfolg wie China. Auch in Demokratien -etwa in Frankreich, Deutschland und den Vereinigten Staaten -wurden gesetzliche Bestimmungen erlassen, die Betreiber von Internetdiensten zur Ermöglichung staatlicher Überwachung verpflichten, etwa zur Ausleitung der Kommunikation mithilfe von Sicherheitsbehörden kontrollierten Überwachungsschnittstellen. Hinzu kommt ein immer rigideres, zumeist durch nationales Recht bestimmtes Regelwerk, das Dienstanbieter zur Inhaltskontrolle verpflichtet (zur Durchsetzung des Copyrights, zur Unterbindung unzulässiger Informationsweitergabe und zur Verhinderung von "Hasskommentaren"). Die technisch und politisch motivierten Eingriffe in die Internetkommunikation haben dazu beigetragen, dass sich die Aufteilung der Verantwortlichkeiten im Internet verschoben hat. Früher hatten die Betreiber der Infrastruktur für die Verfügbarkeit zu sorgen, während die anderen Akteure für die Integrität, Vertraulichkeit und den Datenschutz verantwortlich waren. Heute bestimmen wenige globale Konzerne zunehmend die Funktionsweise des Internets. Google, Facebook, Microsoft, Amazon und Apple -um nur die wichtigsten und "westlichen" Internetunternehmen zu nennenbetreiben sowohl Infrastrukturen und bieten zugleich zahlreiche eigene Dienste an. Sie bestimmen als Plattformbetreiber darüber, welche anderen Unternehmen nach welchen Konditionen mitspielen können. Standards werden bewusst so definiert, dass sie die Kommunikation über Systemgrenzen hinweg erschweren oder unmöglich machen. Auch wenn die entsprechenden Mechanismen bei den privatwirtschaftlich betriebenen Subnetzen/Ökosystemen weniger strikt sind als etwa bei staatlich vollständig kontrollierten Netzsegmenten, ist es für deren Nutzer vielfach schwierig, mit Außenstehenden zu kommunizieren. Dies gilt etwa für Messangerdienste, die jeweils mit eigenen ("proprietären") Standards funktionieren. Während ein Telefonnutzer ohne Weiteres mit den Kunden eines anderen Anbieters telefonieren oder per SMS Nachrichten austauschen kann, ist der Informationsaustausch bei WhatsApp auf die dort registrierten Teilnehmer begrenzt. Auch bei vielen anderen Diensten gibt es entsprechende Beschränkungen. Einschließungseffekte ("lock-in") sind die Folge: Nutzer haben -auch wenn es andere vergleichbare Angebote gibt -keine praktikable Alternative, weil die anderen Familienangehörigen, Kollegen, usw. ebenfalls mithilfe dieses Dienstes kommunizieren oder diese Plattform nutzen. Bei der Gestaltung der Informationsgesellschaft der Zukunft geht es um die Frage, wie die Menschen ihre Selbstbestimmung zurückgewinnen können, die im Überwachungskapitalismus immer weiter eingeschränkt wird. Allerdings ist die Vorstellung völlig irreal, moderne Gesellschaften könnten Computer und Internet einfach abschalten und zur analogen Informationsverarbeitung zurückkehren. Die Frage nach der Zukunft des Internets und -allgemeiner -nach unserem zukünftigen Umgang mit Informationstechnik ist höchst politisch, denn es geht dabei um die fundamentale Herausforderung, ob es den demokratischen Rechtsstaaten gelingt, ihre zentralen ethischen und rechtlichen Prinzipien zu verteidigen und mit Leben zu füllen, welche die Menschheit in ihrem Jahrtausende langen zivilisatorischen Prozess unter vielen Schmerzen entwickelt hat. An erster Stelle steht dabei die Aufgabe, die Grund-und Menschenrechte im digitalen Zeitalter zu gewährleisten und zu stärken. Datenschutz ist dabei ein zwar wichtiger, aber eben nur ein Aspekt [4, S. 29 ]. Er ist eine notwendige, aber keine hinreichende Bedingung, wenn es um die digitale Selbstbestimmung geht. Zu entscheiden ist nicht allein über den Umgang mit personenbezogenen Daten, sondern darüber hinaus auch über "die selbstbestimmte wirtschaftliche Verwertung der eigenen Datenbestände sowie den selbstbestimmten Umgang mit nicht-personenbezogenen Daten, die etwa durch den Wirkbetrieb eigener Geräte generiert werden", wie die deutsche Datenethikkommission einfordert [18] . Zum einen sind deshalb weitere Rechtsgebiete gefordert, etwa das Kartell-und Wettbewerbsrecht, Transparenzanforderungen, wie sie etwa durch Informationsfreiheits-und Transparenzgesetze formuliert werden und die Verbesserung der im Zivilrecht vorgesehenen Gewährleistungs-und Haftungsansprüche für die Hersteller von Hardund Software. Zum anderen geht es um die technische Gestaltung von digitalen Produkten, Dienstleistungen und Infrastrukturen, also um Ansätze, die gewährleisten, dass die ethischen und rechtlichen Anforderungen tief in der Technik verankert werden, wie es ansatzweise schon im Datenschutzrecht unter den Stichworten "Privacy by Design" und "Datenminimierung" geschehen ist, etwa in der EU-Datenschutz-Grundverordnung 7 . Die DSGVO kann kein Endpunkt der Entwicklung sein. Im Hinblick auf ihre Weiterentwicklung stärker in den Blick genommen werden müssen Systeme, die für den einzelnen Menschen oder für die Gesellschaft wichtige Entscheidungen selbst treffen oder vorbereiten. Von besonderer Bedeutung ist dabei die Zusammenführung und Auswertung von Daten zum Zwecke der Bewertung (Profilbildung) und der Einsatz algorithmischer Entscheidungssysteme, etwa im Zusammenhang unter Verwendung "Künstlicher Intelligenz" (KI) (vgl. [19] ). Dringend erforderlich ist darüber hinaus die E-Privacy-Verordnung (vgl. 3.2). Bei aller Bedeutung des europäischen Rechts dürfen wir nicht aus dem Blick verlieren, dass Europa -schon allein aufgrund der digitalen Technologieführerschaft der USA und Chinas -das notwendige Umsteuern nicht im Alleingang bewältigen kann. Verfehlte industriepolitische Weichenstellungen und die Unterschätzung der Bedeutung des technologischen Fortschritts durch das Management der meisten großen europäischen Unternehmen haben dazu beigetragen, dass die weitaus meisten global bedeutsamen Digitalunternehmen in den USA und in Asien angesiedelt sind. Zur Hoffnung Anlass gibt aber, dass inzwischen auch in vielen außereuropäischen Staaten eine Datenschutzregulierung erfolgt, die sich an der DSGVO orientiert, wie etwa der am 1. Januar 2020 in Kraft getretene California Consumer Privacy Act (CCPA). Auch das am 1. Februar 2019 zwischen der EU und Japan in Kraft getretene Freihandelsabkommen (EU-Japan Economic Partnership Agreement) garantiert in dem so entstandenen gemeinsamen Wirtschaftsraum ein der DSGVO entsprechendes Datenschutzniveau. Wir müssen verstehen, dass die Herausforderungen der Digitalisierung eine ähnliche Dimension haben wie die Herausforderungen der Ökologie, wobei durchaus Berührungspunkte zwischen beiden Bereichen bestehen, etwa hinsichtlich des ungeheuren Energieverbrauchs (und der damit verbundenen CO2-Emissionen) der riesigen Datenzentren, die für die Bereitstellung globaler Cloud-und Streamingdiens-te eingesetzt werden. Auch weil die ökologische Umorientierung nur unter Einsatz digitaler Techniken erfolgversprechend ist, liegt eine enge Verknüpfung beider Bereiche nahe. Vielleicht hilft ja ein neuer Gesellschaftsvertrag: ein "Green New Deal", erweitert um die digitale Selbstbestimmung! Überwachtes Netz. newthinking Die globale Überwachung. Droemer, München Überwachung total Das Zeitalter des Überwachungskapitalismus Zugegriffen: 9 Jetzt auch Amazon: Mit mehr als 3000 Satelliten Internet für fast alle Menschen Per Facebook-Drohne: Internet aus der Luft The right to privacy Übereinkommen zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten v. 28.1 The CNIL's restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC Digitaler Frühling Die Neda-Revolte. Süddeutsche Zeitung Online v Coronavirus, bloß nichts durchsickern lassen Evaluation der Datenschutz -Grundverordnung -Vorschläge zur Weiterentwicklung des Datenschutzrechts v