Das Problem ist die Masse. Wer zum Thema Datenschutz im Internet forscht oder auch nur sich über das Thema informieren will, der wird schier erschlagen von Statistiken, Meldungen und Mahnungen. Der Tenor schwankt dabei zwischen »um Himmel‘s Willen!« (soll heißen: Ich möchte eigentlich gar keine Daten mehr rausgeben) bis: »Was soll’s!« (will heißen: »Wenn so viele das machen, wird es nicht so schlimm sein«). Dazwischen liegen gefühlt 100.000 Varianten.

Die große Bandbreite der Unschlüssigkeit, wie Menschen es mit dem Datenschutz im Internet halten sollen, ist vermutlich auch damit zu erklären, dass die Fragestellung relativ jung ist. Bis auf einen Peak rund um das »Teufelswerk Volkszählung« (DER SPIEGEL) im Jahr 1987 galt der Schutz (elektronischer) Daten bis vor Jahren als höchst langweiliges Thema für die meisten Bürger und Unternehmen «, sagt Michael Friedewald. Er ist Leiter des Geschäftsfelds Informations- und Kommunikationstechniken am Fraunhofer-Institut für System- und Innovationsforschung ISI sowie Koordinator des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Projekts Forum Privatheit. Vielleicht auch deshalb wurde Datenschutz ursprünglich vor allem als Schutz im Sinne der Datensicherung verstanden. »Heute aber müssen wir den Begriff viel weiterfassen und wir müssen auch grundsätzlich differenzieren«, betont Friedewald. So sei der Schutz personenbezogener Daten (also das, was wir unter Datenschutz verstehen) der eine Aspekt von Datensicherheit. Der andere ist der Schutz von unternehmenskritischen Daten (also der Bereich IT-Sicherheit), zu dem vor allem umfangreiche technische Sicherheitsmaßen gehören.

Augenöffner für mehr Datensensibilität: Social Media

Der Stellenwert des Datenschutzes änderte sich mit der massiven Ausbreitung von Handelsplattformen, Online-Banking und vor allem der sozialen Netzwerke ab dem Jahr 2006 rasant. Seither kommt es verstärkt zu öffentlichen Mahnungen, einer Sensibilisierung des Themas bei Land und Leuten und dann (mit deutlicher Verzögerung) auch zu gesetzlichen Rahmenvorgaben: Seit rund einer Dekade gelten Daten als »Öl des 21. Jahrhunderts«: Privatpersonen wird immer bewusster, dass ihre Interaktionen Daten hinterlassen und diese Hinterlassenschaften einen Wert haben. Und bei Firmen wurde (und wird) offensichtlich, dass die Behandlung ihrer Kundendaten zu den sensibelsten Bereichen im Unternehmen gehört. So verwundert es einerseits nicht, dass das Recht auf informationelle Selbstbestimmung und der Schutz jeder Art von Informationen, die elektronisch verarbeitet werden konnten, seit einigen Jahren einen festen Platz in der öffentlichen Wahrnehmung und auf der Agenda von Unternehmen hat. Andererseits: Warum hat das so lange gedauert?

Privacy Paradox

Friedewald spricht vom »Privacy Paradox«. Es beschreibt das Phänomen, dass wir mehr Datenschutz im Internet und mehr Datenvorsicht einfordern, uns aber just in dem Moment, in dem wir vor dem Bildschirm sitzen, die Dateneingabe wichtiger ist als das Nachdenken über die Gefahren. »Geplant haben wir‘s schon, aber machen haben wir nicht gewollt« würde Karl Valentin wohl heute sagen.

Der Grund dafür, sagt Friedewald, liege unter anderem darin, dass Vorsicht im Internet nicht honoriert wird – im Gegensatz zu Interaktionen. Hinzu kommt, dass mangelhafte Sorgfalt der Unternehmen im Umgang mit Daten ihrer Kunden in der Vergangenheit meist straffrei blieben und der Datenschutz hier oft ohnehin noch insgeheim als »Hindernis« für Innovationen angesehen wird. »Echte Businessmodelle, die heutzutage auf dem Datenschutz basieren, gibt es bis heute kaum«, konstatiert Friedewald.

Trotzdem: Ein weiter steigender und dann hoher Stellenwert des Datenschutzes scheint sich gerade zu manifestieren: »Auch beim Umweltschutz hat es einige Zeit gedauert, bis der Wert erkannt wurde und das Verhalten sich geändert hat«, betont Friedewald.

Gesetzliche Rahmenbedingungen

Zumal auch die Normen- und Gesetzgeber mittlerweile Fakten geschaffen haben: So hat die Europäische Union in ihrer Grundrechtscharta ein Recht auf den Schutz personenbezogener Daten formuliert und klargemacht: Das bezieht sich sowohl auf Datenerfassung, Datenspeicherung, Datenverarbeitung als auch auf die Datenweitergabe. Und nach Rechtsprechung des Bundesverfassungsgerichts ist der Datenschutz ein juristisch manifestes Grundrecht (Recht auf informationelle Selbstbestimmung). Danach kann der Betroffene grundsätzlich selbst darüber entscheiden, wem er welche persönlichen Informationen bekannt gibt. Daraus wiederrum leiten sich auch Hauptprinzipen des Datenschutzes ab, wie wir ihn heute kennen: Dazu gehören das Verbot mit Erlaubnisvorbehalt (Daten dürfen ohne Rechtsgrundlage nicht verarbeitet werden), das Prinzip der Datensparsamkeit sowie der Erforderlichkeit und der Zweckbindung.  Eine praktische Konsequenz daraus ist beispielsweise die Datenschutz-Grundverordnung (DSGVO).

IT-Sicherheit

Aber der Datenschutz im Internet hat neben der rechtlichen und organisatorischen auch eine technische Komponente. Sie ist sozusagen die Voraussetzung für den funktionierenden und sorgsamen Datenschutz. Dabei müssen IT- und Datenschutzbeauftragte, entsprechende Programme und eine umfangreiche Absicherung der Rechenzentren gewährleisten, dass die Sicherung der Daten auch tatsächlich funktioniert. Ein Löschen, »Stehlen« oder Verfälschen der Daten soll damit so weit ausgeschlossen werden wie irgend möglich und zumutbar. Auch in diesem Bereich ist in Deutschland wohl zwar erst vor einigen Jahren einiges in Bewegung gekommen, dafür aber sind wachsenden Sensibilitäten und klarer definierte Ziele nun deutlich erkennbar: »Der Wille, datenschutzfreundliche Technologie einzusetzen ist bei den Unternehmen mittlerweile groß«, betont Friedewald. Allerdings müssen man auch in Bezug auf die Technik einen Zeitverzug bei der Umsetzung konstatieren. Noch arbeiten einzelne Unternehmen - insbesondere im Mittelstand - an den Basics. Der Grund dafür ist unter anderem ein noch zu schwacher Pull-Effekt: Die explizite Nachfrage nach technischen Sicherheitsvorkehrungen durch Auftraggeber und Abnehmer ist noch nicht sonderlich ausgeprägt. Das verführt dazu, immer noch in der Kategorie »nice-to-have« zu denken statt das »must« abteilungsübergreifend anzugehen. Das ist umso verwunderlicher, als die benötigte Technik an sich heute in der Regel keine Leading Edge-Technologie mehr ist.

Internationale Vorreiterrolle

Allerdings müssen alle, die jetzt vorschnell eine Rückständigkeit im Bereich Datensicherheit konstatieren, diesen Rückstand auch in Bezug zum immer weiter ausgefeilten technischen Fortschritt sehen, dem sich Datenkriminelle bedienen. Und in diesem Hase-und-Igel-»Spiel« um die IT-Sicherheit dürfte es aller Wahrscheinlichkeit nach auch in Zukunft immer eine Verzögerung bei der Anpassung der Sicherheitsvorkehrungen geben. Im Moment kann zwar niemand sagen, was kommende Entwicklungen etwa durch den Einsatz von Quantencomputern und Big Data mit sich bringen, sagt Friedewald. Das aber dürfte für viele »normale« Unternehmen, die ihre Daten über das Internet generieren und nutzen, auf absehbare Zeit kaum relevant werden.

Unterm Strich, so Friedewald, sei es um den Datenschutz und die IT-Sicherheit in Deutschland also gar nicht so schlecht bestellt. Im Gegenteil: In Bezug auf Technologien, eingeleitete Maßnahmen und gesetzliche Bestimmungen habe Deutschland international sogar eine Vorreiterrolle übernommen. (md)