Rechtsexperte Prof. Dr. Rolf Schwartmann im Interview „Die NSA-Affäre hat Einfluss auf die Möglichkeiten der Datennutzung zu kommerziellen Zwecken“

Prof. Dr. Rolf Schwartmann (Foto: Dörthe Boxberg)

marktforschung.dossier: Die Bürger Europas scheinen mehr besorgt zu sein im Hinblick auf Datenanonymität und Datenschutz als die US-Bürger. Besteht ein allgemeiner kultureller oder rechtlicher Unterschied?

Rolf Schwartmann: Es bestehen sowohl kulturelle als auch rechtliche Unterschiede zwischen dem Denken der Menschen in der Europäischen Union und in den USA. Aus rein rechtlicher Perspektive folgt die Europäische Union einem „Verbot mit Erlaubnisvorbehalt“-Ansatz. Das bedeutet, dass die Verarbeitung von persönlichen Daten verboten ist, es sei denn, sie wird ausdrücklich erlaubt. Die USA hingegen erlauben die Verarbeitung persönlicher Daten, es sei denn, sie wird vom Gesetz ausdrücklich verboten. Ich würde die beiden Rechtssysteme mit einem „offene Tür“- und „geschlossene Tür“-Ansatz vergleichen. Die USA wollen einen freien Fluss von Daten um jeden Preis. Außerdem gibt es kein Grundrecht in der US-Verfassung auf Schutz persönlicher Daten. Die Verfassung schützt das Recht auf Privatheit bis zu einem gewissen Grad, ohne dass es ausdrücklich erwähnt wird. Zudem folgt die Europäische Union einem flächendeckenden Ansatz zum Schutz persönlicher Daten, während die USA bereichsbezogene Privatheitsbestimmungen bevorzugen. Persönliche Daten sind in den USA aber nicht ungeschützt. Der dortige Gesetzgeber konzentriert sich aber mehr auf das Verarbeiten von Datenmaterial mit einem höheren Risiko, wie Gesundheitsvorsorge oder finanzielle Transaktionen.

Zudem spiegeln die bestehenden Unterschiede in den Datenschutzregimen auch die kulturellen Unterschiede wieder. Besonders in Deutschland sind wir misstrauisch gegenüber jedweder Form von Datenerfassung durch den Staat. Das liegt an den Erfahrungen, die wir in der Vergangenheit mit autoritären Regimen gemacht haben.

marktforschung.dossier: Wie sieht es aus mit den Unterschieden innerhalb Europas? Sind beispielsweise die Deutschen sozusagen neurotisch und die Briten sorglos?

Rolf Schwartmann: Sowohl Briten wie auch Deutsche müssen die durch die Richtlinie 95/46/EC festgesetzten Standards befolgen. Gleichwohl gibt die Richtlinie den Mitgliedstaaten die Möglichkeit Bestimmungen der Richtlinie 95/46 auszulegen, was zu einem unterschiedlichen Datenschutzniveau führt. Der europäische Gesetzgeber soll diese Unterschiede nun ausgleichen. Abgesehen von den unterschiedlichen Regelungen zum Datenschutz scheint es manchmal so, dass der Datenschutz in Großbritannien nicht so sehr von öffentlichem Interesse ist wie in Deutschland. Das hat sich durch die Enthüllungen von Edward Snowden in gewisser Weise geändert.

marktforschung.dossier: Facebook übernimmt What’s app, Google erzwingt die Personalisierung seiner Nutzer und kauft weiter Unternehmen wie Nest Labs, oder setzt Kooperationen durch wie mit BMW, die den Datenfundus weiter anreichern.
Sind die Unternehmen entfesselt? Wie weit ist es ihnen erlaubt, diese Daten für Marketing oder zu anderen Zwecken zu nutzen und welche Hauptregulierungen beschränken den eigenen Gebrauch oder die Weitergabe an Dritte?

Rolf Schwartmann: Mit der Übernahme von Whatsapp hat Facebook Zugang zu 450 Mio. monatlichen Nutzern von WhatsApp. Im Hinblick auf den Preis den Facebook für das neue „Nutzerpotential“ gezahlt hat, haben sie ein Schnäppchen gemacht. 40 USD für jeden neuen Nutzer sind wenig. Eine derart große Anzahl von Nutzern „unter einem Dach“ zu haben, eröffnet die Möglichkeit, umfangreiche Big Data-Analysen vorzunehmen. Ein Missbrauch solcher persönlicher Daten würde weitreichende Konsequenzen haben.  

Aus rechtlicher Perspektive ist die Möglichkeit der Nutzung von persönlichen Daten grundlegend davon abhängig, ob solche Daten als anonym angesehen werden oder nicht. Bislang hat der Europäische Gesetzgeber sein Datenschutzregime nur auf persönliche Daten angewandt. Wenn Daten anonym sind, findet das Datenschutzregime also keine Anwendung. Ich bezweifele, dass ein solcher Ansatz angemessen ist. Moderne Technik erlaubt genaue Nutzeransprache basierend auf anonymen Metadaten. Diese Art des Anlegens von Profilen erlaubt Unternehmen zum Beispiel Online Nutzer gezielt anzusprechen und maßgeschneiderte Werbung auf besuchten Webseiten zu platzieren, basierend auf den Vorlieben des jeweiligen Nutzers. Wir brauchen eine europäische Regulierung, die die Nutzung von pseudonymen oder anonymen Daten beherrscht. Anderenfalls finden diese Aktivitäten außerhalb jedweder Regulierung statt.

marktforschung.dossier: Welche Regelungen finden Anwendung?

Rolf Schwartmann: Im Prinzip setzt Art. 4 der Richtlinie 95/46/EC fest, wann nationale Gesetze zum Datenschutz Anwendung finden. Wenn die Verarbeitung von persönlichen Daten im Zusammenhang mit den Aktivitäten einer Niederlassung verantwortlich auf dem Gebiet eines Mitgliedstaates erfolgt, finden die relevanten nationalen Bestimmungen Anwendung.

Das anwendbare Recht zu bestimmen kann dennoch schwierig sein. Im Hinblick auf Facebook gibt es ein jüngeres Urteil des Kammergerichts Berlin. Es deutet an, dass deutsches Recht für die Verarbeitung von Daten deutscher Facebook-Nutzer anzuwenden ist. Das Unternehmen argumentierte, dass seine Niederlassung in Deutschland keine Daten verarbeitet, sondern das Facebook Irland die für die Datenverarbeitung verantwortliche Stelle sei. Das Kammergericht Berlin folgte dieser Ansicht nicht, da weder Facebook Deutschland noch Facebook Irland irgendeinen Einfluss auf die Verarbeitung von persönlichen Daten seiner Deutschen Nutzer haben. Facebook Inc. USA,  kontrolliert und verantwortet die Verarbeitung tatsächlich, indem sie in der Lage ist, jederzeit den Umfang der Datenverarbeitung zu verändern. Da Facebook Inc. automatisierte Mittel in Europa zur Verarbeitung von persönlichen Daten Deutscher Nutzer durch Einsatz eines “Cookie” auf dem persönlichen Computer des Nutzers, einsetzt, findet Art. 4 Lit. (c) der Richtlinie 95/46/EC Anwendung. Also muss Facebook die deutschen Bestimmungen zum Datenschutz befolgen.

Aufgrund dessen ist es wichtig zu bestimmen, wer der tatsächliche Entscheidungsträger ist, wenn Art. 4 der Richtlinie 95/46/EC angewendet wird.

marktforschung.dossier: Brauchen wir ein allgemeines europäisches Gesetz zum Datenschutz? Sind diesbezüglich wesentliche Veränderungen in Sicht?

Rolf Schwartmann: Meiner Ansicht nach brauchen wir ein harmonisiertes Schutzregime. Die Richtlinie 95/46/EC hatte, laut EuGH, eine volle Vereinheitlichung zum Ziel, war aber nicht weitreichend genug. Deshalb würde ich einen übergreifenderen Ansatz begrüßen, wie er durch den Entwurf der Datenschutzgrundverordnung angestrebt wird, der von der Europäischen Kommission vorgelegt wurde. Obwohl weder die Mitgliedstaaten noch das Parlament die Vorschläge der Kommission bislang übernommen haben, sind die Interessengruppen bereit, eine allgemeine Regulierung zu verwirklichen. Aber wir müssen sehen, dass eine allgemeine Regulierung nur dazu bestimmt ist, allgemeine Aspekte des Datenschutzes innerhalb des Europäischen Wirtschaftsraumes zu regulieren. Mitgliedstaaten werden höchstwahrscheinlich die Möglichkeit haben, bereichsbezogene Bestimmungen zum Datenschutz zu verabschieden, wie zu Zwecken der Gesundheitsvorsorge oder im Bezug zum Arbeitsrecht.

marktforschung.dossier: Betrifft die NSA-Affäre die kommerzielle Nutzung von Daten? Sehen wir strengerer Regulierung oder sogar weniger strenger Regulierung zu Privatheit und Datenschutz entgegen?

Rolf Schwartmann: Die NSA-Affäre hat Einfluss auf die Möglichkeiten der Datennutzung zu kommerziellen Zwecken. Der Gesetzgeber ist aufgrund eines weitverbreiteten öffentlichen Interesses an Privatheit gezwungen, das Datenschutzregime zu verschärfen. Wir haben in der Vergangenheit gesehen, dass jeder Gesetzgeber der unter Druck gesetzt wurde, mit schärferer Regulierung reagiert. Das zeigt jede Notstandsgesetzgebung. Ich erwarte, dass dies im Hinblick auf den Schutz persönlicher Daten passieren wird, möglicherweise beginnend mit der Datenschutzgrundverordnung.

Wenn über die Modernisierungen von unserem europäischen Datenschutzregime gesprochen wird, sollten wir bestimmte Aspekte im Hinterkopf behalten:

Man könnte sagen, dass der Nutzer die Entscheidung haben sollte, ob er persönliche Daten mit anderen teilt und dass staatliche Einrichtungen aus jeder Art von Regulierung herauszuhalten seien. Aber wir können nicht ignorieren, dass bestimmte Nutzer einen umfassenden Schutz ihrer Daten benötigen, denken Sie an die Nutzung von Internetdiensten durch Minderjährige. Ihre persönlichen Informationen werden üblicherweise für einen langen Zeitraum gespeichert. Deshalb brauchen wir zusätzlichen Schutz für solche Nutzer durch den Gesetzgeber. Außerdem brauchen wir einen Interessenausgleich, wenn es um die Verarbeitung persönlicher Informationen im Internet geht. Einerseits haben Nutzer ein Interesse daran im Internet „vergessen zu werden“. Andererseits besteht ein Interesse an Nachhaltigkeit von Daten, besonders im Hinblick auf Informationen von öffentlichem Interesse. Warum soll es für den Informationsanspruch einen Unterschied machen, ob er aus einem körperlichen oder einem digitalen Archiv erfüllt wird? In einem Fall der dem EuGH vorgelegt wurde, verlangte der Kläger von Google seine sensiblen persönlichen Daten aus den Suchergebnissen zu löschen. In einer Stellungnahme des Generalanwalts des EuGH, äußerte dieser Zweifel daran, dass Internetdiensteanbieter gezwungen sein sollten, persönliche Daten zu löschen. Es gebe keine Datenschutzregelung, die eine Person berechtigt die Verbreitung von Tatsachen, seien sie auch persönlicher Natur, zu löschen, nur weil er sie, obwohl sie wahr sind, als unangenehm oder rufschädigend begreift.

marktforschung.dossier: Glauben Sie, dass Verbraucher zwischen anonymer Datenerfassung, wie sie von Marktforschern vorgenommen wird, und nicht-anonymer Datenerfassung, wie durch viele andere Direktmarketing und Big-Data-Unternehmen, unterscheiden?

Rolf Schwartmann: Meiner Ansicht nach spielt es nicht wirklich eine Rolle, ob Nutzer zwischen anonymer Datenerfassung und nicht-anonymer Erfassung unterscheiden, da sie normalerweise über keine ausreichende Kenntnis über die Einsatzmöglichkeiten, die Marktforscher selbst mit anonymen Daten haben, verfügen. Denken sie an gezieltes Online-Ansprechen. Heute ist man in der Lage, exakte Nutzerprofile anzulegen, ohne persönliche Daten zu benötigen.

marktforschung.dossier: Und interessiert den Nutzer das überhaupt?

Rolf Schwartmann: Mit ausreichender Kenntnis von den Einsatzmöglichkeiten von Online Verhaltens-Marketing werden Nutzer sich mehr um ihre Daten Gedanken machen, als sie es jetzt tun. Davon abgesehen besteht aufgrund der Snowden Enthüllungen ein wachsendes Interesse an Privatheit.

marktforschung.dossier: Brauchen wir mehr Regulierung oder mehr Aufklärung?

Rolf Schwartmann: Wir sollten das Bewusstsein für die Bedeutung des Datenschutzes stärken. Regelungen zum Datenschutz könnten uns helfen, Bewusstsein zu erwecken, aber das ist nicht genug. Nutzer müssen ihre Betroffenheit auch erkennen. Ich habe meine Zweifel, dass sich Bewusstsein für Datenschutz durch ein bloßes Rechtsregime entwickeln lässt. Wir sollten eher Risiken erklären, die durch eine Weitergabe von persönlichen Daten in einer Online–Umgebung entstehen. Das muss Hand-in-Hand gehen mit einer Erklärung zu den technischen Möglichkeiten in unseren modernen Zeiten. Wenn das nicht funktioniert, werden wir uns gegen schärfere Regeln nicht wehren können.

marktforschung.dossier: Herr Professor Dr. Schwartmann, herzlichen Dank für dieses Gespräch!