„Jeder Website-Betreiber sollte sich klar zum Datenschutz äußern“

Unternehmen betrachten Daten als den Rohstoff des 21. Jahrhunderts. Politiker sehen sich in der Pflicht, personenbezogene Daten gesetzlich zu schützen. In der Diskussion um die geplante europäische Datenschutz-Grundverordnung fordert Olaf Brandt, verantwortlich für das Produktmanagement beim Technologieanbieter Etracker, eine Rückbesinnung auf die eigentlichen Ziele des Datenschutzes. Die Richtlinie müsste an den realen Anforderungen der heutigen vernetzten Informationsgesellschaft ausgerichtet werden.

Herr Brandt, die Etracker GmbH bietet Dienstleistungen wie Mouse Tracking oder Web Controlling an, im Rahmen dessen Website-Besuche analysiert werden. Wünschen Sie sich besonders liberale Datenschutz-Gesetze?

OLAF BRANDT: Zur Etracker Philosophie gehört ein sehr hoher Anspruch an den korrekten und vertraulichen Umgang mit Kundendaten. Wir speichern und verarbeiten die von uns erfassten Daten gemäß den geltenden gesetzlichen Vorschriften. Zudem haben wir uns bereits 2006 von der zuständigen Behörde, dem Hamburgischen Datenschutzbeauftragten, prüfen lassen und stehen seither im engen Dialog mit der Behörde.

Auf dieser Grundlage können wir unseren Kunden weitreichende Erkenntnisse über ihre Website-Besucher liefern, ohne deren Persönlichkeitsrechte zu verletzen. Und von diesen Erkenntnissen profitieren sie letztlich auch wieder, indem sie die für sie relevanten Inhalte vorfinden. Die Vorteile unserer Kunden sind damit sowohl die besucherzentrischen Analysen und Optimierungen als das Vertrauen ihrer Besucher dahingehend, dass ihre Daten geschützt bleiben.

Insgesamt würden wir es sehr begrüßen, wenn uns als Unternehmen klare, praktikable Richtlinien vorgegeben werden würden, die die Internetwirtschaft nicht unnötig behindern, sondern ausgelegt sind, um wirklichen Missbrauch zu verhindern.

Was sind aus Ihrer Sicht die eigentlichen Ziele des Datenschutzes?

BRANDT: Das Ziel sollte sein, die Besucherdaten für die sinnvolle Optimierung von Online-Angeboten nutzen zu dürfen. Dabei müssen jedoch die Vertraulichkeit personenbezogener Daten und die Rechte des Einzelnen in Bezug auf seine Daten gewahrt werden. Damit einhergehend gilt es, Rechtssicherheit für Unternehmen und Anbieter zu schaffen, das Vertrauen in Online-Angebote zu stärken sowie die Möglichkeit von Personen und Unternehmen, gegen Missbrauch vorzugehen, zu gewährleisten.

Die Grenzen lassen sich jedoch nicht immer klar definieren, Automatisierung und individualisierte Ansprache stellen eine Gratwanderung dar: Wann dienen Profile und Algorithmen dazu, aus der schier endlosen Fülle an Angeboten die für mich interessanten herauszufiltern? Wann dienen sie dazu, mich zu bevormunden oder zu manipulieren? Einerseits wünschen wir uns intelligente Kühlschränke, die eigenständig Waren bestellen, andererseits fürchten wir den ‚gläsernen Menschen‘ und empfinden es als Verletzung der Intimsphäre, wenn uns eine Web-Anzeige gezielt eine Schönheits-OP für eine große Nase empfiehlt.

Auch die Frage, was personenbezogene Daten sind, ist nicht endgültig geklärt. So lässt die Verarbeitung vieler pseudonymisierter Daten eventuell doch Rückschlüsse auf eine Einzelperson zu. Die rasante Entwicklung von Technologien und Anwendungen aber auch die sich ständig ändernden Erwartungen zum Umgang mit persönlichen Daten und der fortschreitenden Digitalisierung des Alltags entfalten hier eine ganz besondere Dynamik.

Der Entwurf für eine neue Datenschutz-Grundverordnung in der Europäischen Union soll unter anderem das Erstellen von Profilen von Internetnutzern erschweren. Zudem soll das Setzen von Cookies künftig nur erlaubt sein, wenn der Nutzer zugestimmt hat. Unternehmensverbände sehen darin massive Hürden für werbefinanzierte Dienste. Aber wäre die Pflicht, die Zustimmung des Kunden einzuholen, nicht genau das, was eine vertrauensvolle Kundenbeziehung fördert?

BRANDT: Jeder Website-Betreiber sollte sich klar zum Datenschutz äußern und seine Besucher über Art und Zweck der Datenerhebung transparent und gut sichtbar informieren. Außerdem sollte er durch ein unkompliziertes Opt-out-Verfahren jedem den Widerspruch gegen die Verwendung der eigenen Daten ermöglichen. Und das nicht nur für Desktop-Nutzer, sondern gerade auch für mobile Endgeräte. Damit schafft er Vertrauen und erfüllt die aktuellen gesetzlichen Regelungen.

Es bleibt aber fraglich, ob hier ständige Zustimmungsaufforderungen zielführend sind, wie es beim Opt-in nötig wäre. Will ich mich als Besucher wirklich jedes Mal im Detail mit der Verarbeitung meiner Daten auseinandersetzen? Kann ich so überhaupt den Missbrauch meiner persönlichen Daten verhindern? Es würden zwar generell weniger Daten erfasst, da bei einem Opt-in weniger Personen zustimmen als bei einem Opt-out widersprechen. Fraglich ist aber, ob es der Komplexität der digitalen Datenverarbeitung wirklich gerecht wird, die Diskussion auf Opt-in oder Opt-out, Cookies ja oder nein beziehungsweise Erst- versus Drittanbieter-Cookies zu reduzieren.

Die eigentlich spannende und entscheidende Frage ist doch, was mit diesen Daten passiert, etwa in den Big Data-Rechenzentren, in denen eine große Menge an Daten unterschiedlicher Quellen aggregiert und für die Weiterverwendung ausgewertet wird.

Auch das so bezeichnete „Recht auf Vergessen“ von Datenspuren oder Nutzerprofilen soll mit der geplanten EU-Verordnung Realität werden. Lässt es sich praktisch umsetzen?

BRANDT: Eine solche Verordnung ist in der Praxis vermutlich kaum durchzusetzen und setzt zudem die europäische Wirtschaft massiven Wettbewerbsnachteilen aus. Sinnvoller wäre es, sich stärker mit der Realität der Internetwirtschaft vertraut zu machen und mit den Wirtschaftsverbänden nach praktikablen Lösungen zu suchen. Hier müssen sich Wirtschaft und Politik intensiver austauschen, um für den Endverbraucher ein gutes und praktikables Schutzniveau zu entwickeln.

Das Internet ist grenzenlos und viele Unternehmen sind international aufgestellt. Was können eine europaweite Verordnung und nationale Gesetze überhaupt effektiv regeln?

BRANDT: Aktuell sind nicht einmal die Regelungen der Bundesländer einheitlich und das aktuelle deutsche Datenschutzrecht wird nur unzureichend durchgesetzt. Die rechtskonforme Umsetzung des Opt-outs ist in Deutschland beispielsweise noch kein durchgängiger Standard, da auf mobilen Endgeräten ein Widerspruch zur Datenerhebung häufig gar nicht möglich ist. Hinsichtlich der EU-Verordnung oder der Umsetzung und Überwachung der E-Privacy-Richtline durch die einzelnen Mitgliedsländer ist einerseits eine noch stärkere Wettbewerbsverzerrung zu befürchten. Andererseits besteht die Chance, durch sinnvolle Regelungen und deren einheitliche Umsetzung das Vertrauen der Verbraucher zu fördern und so Wettbewerbsvorteile zu schaffen. Denn letztlich sind das Image einer ‚Datenkrake‘ oder Datenschutzverstöße nicht unbedingt förderlich für das Geschäft.

Die Fragen stellte Astrid Schäckermann.