Daten sind die Währung des Internetzeitalters. Doch wem gehören eigentlich die Daten? Kann man überhaupt Daten besitzen?
Kurzum: Es gibt es kein Eigentum an Daten. Folgerichtig kann man also nach Belieben Daten erheben, man kann sie speichern und man kann aus den so gewonnenen Daten Erkenntnisse über das Verhalten und die Lebensumstände von Menschen oder über Sachen ziehen. Diese kann man dann verwenden, um sein Geschäftsmodell zu unterstützen oder um neue Geschäftsfelder aufzubauen. Wer also viele Daten ermitteln kann, ist dann zwar nicht Eigentümer, aber doch sicherlich Herr dieser Daten?
Mitnichten! Da eine unkontrollierte Erhebung von Daten über Menschen und ihr Verhalten deren Privatsphäre in unzulässiger Weise berühren kann, hat das Bundesverfassungsgericht im sogenannten Volkszählungsurteil 1983 festgestellt: Grundsätzlich kann ein Mensch über seine Daten und deren Verwendung selber entscheiden. Dieses Grundrecht der informationellen Selbstbestimmung hat entsprechend Eingang in die Gesetzgebung gefunden und ist in verschiedenen Ausprägungen auch grundsätzliche Auffassung in der Europäischen Union.
Was heißt dies nun konkret?
Der Umgang mit personenbezogenen Daten wird in Deutschland im Bundesdatenschutzgesetz geregelt. Das Urteil des Bundesverfassungsgerichts umsetzend, konkretisiert dieses Gesetz den Umgang mit den ganz persönlichen Daten eines jeden Einzelnen auf Grundlage des folgenden Prinzips: „Was nicht erlaubt ist, ist verboten“. So darf man personenbezogene Daten nur erheben und nutzen, wenn der betroffene Mensch oder eine gesetzliche Regelung dies erlaubt. Dies legitimiert jedoch nicht die unbeschränkte Verwendung personenbezogener Daten, da man sich immer an dem Prinzip der Datensparsamkeit orientieren muss. Jede erlaubte Verarbeitung und Erhebung ist zusätzlich zweckgebunden, sodass man die Daten jeweils nur für den von Anfang an bekanntgegebenen Zweck verwenden darf. Auch wenn das Bundesdatenschutzgesetz nahelegt, dass alles in diesem Gesetz geregelt wird, gibt es doch eine Vielzahl von weiteren gesetzlichen Regelungen, in denen der Datenschutz behandelt wird. Erst wenn diese Regelungen nicht greifen, ist das Bundesdatenschutzgesetz anzuwenden. Aber auch spezielle Vereinbarungen, wie beispielsweise Betriebsvereinbarungen, können eine Erlaubnis zur Verarbeitung von personenbezogenen Daten bieten.
Doch was sind personenbezogene Daten?
Die Antwort gibt das Bundesdatenschutzgesetz: Dieses Gesetz schützt alle Daten, die man direkt einer Person zuordnen kann. Dabei ist unerheblich, ob diese Daten die Person direkt identifizieren oder ob sie über Umwege, wie beispielsweise eine Schaden- oder Versicherungsscheinnummer oder das Kfz-Kennzeichen, indirekt zugeordnet werden können. Aber auch wenn eine direkte oder indirekte Zuordnung nicht möglich erscheint, bietet die Nutzung vieler voneinander unabhängiger Datenquellen eine nicht immer theoretische Möglichkeit, eine Person zu reidentifizieren. Unter den zu schützenden Daten gibt es ganz besonders sensible Daten, die ganz besonderen Schutz genießen. Dies sind beispielsweise Gesundheitsdaten, aber auch Daten über die Religionszugehörigkeit, Gewerkschaftszugehörigkeit oder sexuelle Orientierung.
Wie wird das Recht auf Selbstbestimmung unterstützt?
Um das Selbstbestimmungsrecht für seine Daten durchzusetzen, sieht das Bundesdatenschutzgesetz eine Reihe von Rechten vor. Neben dem Recht auf unentgeltliche Auskunft über die Speicherung von Daten (§ 34 BDSG) besitzt jeder Mensch auch das Recht, fehlerhafte Daten berichtigen zu lassen oder Daten löschen zu lassen, solange diese unbefugt erhoben worden sind oder nicht mehr benötigt werden. Darüber hinaus verlangt das Bundesdatenschutzgesetz, über die Erhebung, Speicherung und Verwendung von Daten zu informieren. Hierzu werden in Anträgen entsprechende Hinweise und gegebenenfalls auch Einwilligungen verankert, die zur Kenntnis genommen werden können oder explizit genehmigt werden müssen. Dabei muss die Einwilligung freiwillig sein und darf nicht im Kleingedruckten versteckt werden. Beispielsweise wird dies im sogenannten Code of Conduct oder in der bei Gesundheitsdaten notwendigen Schweigepflichtentbindungsklärung umgesetzt. Während letztere überhaupt erst erlaubt, Gesundheitsdaten zu speichern oder im Rahmen der Versicherungstätigkeit zur Abrechnung oder Prüfung weiterzugeben, erläutert der Code of Conduct die grundlegenden Regeln des Datenschutzes und der Datenverwendung, denen sich die Versicherungswirtschaft freiwillig unterworfen hat. Schon sehr früh hat sich beispielsweise die LVM zum 1. Februar 2013 für den Beitritt zum Code of Conduct entschieden. Mit diesen Maßnahmen ist die grundlegende Transparenz in der Verwendung von Daten gegenüber dem Kunden sichergestellt.
Gilt dies denn weltweit?
Die obigen Regelungen gelten nur für Deutschland und in ähnlicher Form für die europäische Union durch die aktuelle Datenschutzrichtlinie. Auch etliche Staaten außerhalb der EU haben ein ähnliches Schutzniveau. Leider haben auch viele Staaten eine vollständig andere Auffassung zum Datenschutz, so dass es insbesondere im weltweiten Internet immer wieder zu Kollisionen und zu – aus deutscher Sicht – unzulässigen Datensammlungen kommt. Beispiele sind der Like-Button (Facebook) oder die Nachverfolgung von Kommunikation oder Internetnutzung. Deshalb will die europäische Union mit einer neuen Datenschutzgrundverordnung den Datenschutz in ihrem Einflussbereich vereinheitlichen, ohne jedoch diesen Standard weltweit durchsetzen zu können. Beispielsweise verpflichtete der Europäische Gerichtshof im Frühjahr 2014 Google unter bestimmten Voraussetzungen zur Löschung von Suchergebnissen, die auf personenbezogene Daten verweisen, sofern die betroffenen Personen dies verlangen. Diese Maßgabe, von Google mit Hilfe eines Webformulars umgesetzt, gilt entsprechend aber nur für den Bereich der EU Mitgliedsstaaten. Zudem werden die Suchergebnisse technisch auch keineswegs gelöscht, sondern lediglich ausgeblendet. Je nach Standort oder Browsereinstellung lassen sich die „gelöschten“ Suchergebnisse also weiterhin aufrufen.
Was kann ich im Internet zum Schutz meiner Daten tun?
Das Internet ist natürlich kein rechtsfreier Raum, aber es stellt den Datenschutz vor große Herausforderungen. Daten werden im Web regelmäßig über viele Server und Knotenpunkte weltweit geleitet, was es äußerst schwierig macht zu verfolgen, wo genau welche Daten gespeichert worden sind. Entsprechend kommt hier dem Grundsatz der Selbstbestimmung eine ganze besondere Bedeutung zu. Geben Sie Daten im Internet daher nur sehr bewusst weiter. Seien Sie sich darüber im Klaren, dass Daten für Google, Facebook etc. nur eine Währung sind und bleiben Sie trotz aller Vernebelungen kritisch und risikobewusst. Das Internet vergisst nichts!
■ Dennis Cosfeld-Wegener
■ Johannes Schlattmann
(Datenschutzbeauftragter der LVM Versicherung)