NutzerInnen in der digitalen Welt - Verbraucher- und Datenschutz stärken

3. Forderungen der grünen Bundestagsfraktion I

Datenschutz als modernes Bürgerrecht sichern und ausbauen

Datenschutz und Schaffung von Rechtssicherheit sind in einer sich im digitalen Wandel befindlichen Gesellschaft konstitutive Elemente für die Freiheit aller. Der Datenschutz ist weder überholt noch muss er als Selbstdatenschutz dem Einzelnen überlassen bleiben. Im Gegenteil: Die Nachfrage nach effektiven Datenschutzinstrumenten war noch nie größer, das belegen alle seriösen Umfragen. Angesichts technischer Entwicklungen und der Marktkonzentration einiger großer multinationaler Unternehmen, die durch riesige Datenmengen zunehmend im Besitz von exklusivem gesellschaftlichen Wissen sind, und einer oftmals fehlenden effektiven gesetzlichen Regulierung steht das Grundrecht auf informationelle Selbstbestimmung auf dem Spiel. Datenschutz und Verbraucherschutz sind jedoch Voraussetzung zur informationellen Selbstbestimmung und damit Fundamente für eine innovative und demokratische Fortentwicklung des digitalen Wandels im Sinne der Menschen. Daher ist ein entschiedener Einsatz für Verbraucher- und Datenschutz als moderne Bürgerrechte in der digitalen Welt nötig.

Eine der größten Herausforderungen ist der intransparente Umgang mit den Daten der VerbraucherInnen, die teils ohne ihr Wissen gesammelt, gerastert, zu Profilen weiterverarbeitet und an Dritte weitergegeben werden. Dieses Problem wird sich durch die zunehmende Datenerhebung, beispielsweise in Haus- und Haushaltstechnik, der Energieversorgung, in der eigenen Wohnung, im Verkehr, im öffentlichen Raum oder im Gesundheitssektor oder allgemein durch das „Internet der Dinge“ weiter verschärfen.

Durch die Vielzahl von Daten ergeben sich zahlreiche neue Innovationspotenziale hinsichtlich großer gesellschaftlicher Herausforderungen sowie durch die Anwendungsmöglichkeiten wissenschaftliche wie wirtschaftliche Chancen. Durch die Vielzahl von Daten ergibt sich eine neue, zurzeit noch unvorhersehbare Dimension des Verbrauchertrackings (beispielsweise Datenerfassung von Surfverhalten) und der Auswertbarkeit der Daten für unterschiedliche Zwecke. Solche neuen Dimensionen der Verkettung von Daten, neuer Datenverarbeitungsformen, Big Data und überindividuellen Folgen von Kategorisierungen berühren nicht nur Verbraucher-, sondern auch Persönlichkeitsrechte. Statt der angestrebten Verbrauchermacht drohen Ohnmacht und Resignation angesichts der massenhaften Verwendung von Verbraucherdaten und eines daraus resultierenden Verlustes von Vertrauen in entsprechende Angebote.

Modernisierung des Datenschutzes hin zu einem Informationsschutz

Datenschutz bedarf einer laufenden Modernisierung. Wirksame Schutzvorkehrungen setzen gleichermaßen innovative neue Instrumente als auch eine Weiterentwicklung des klassischen Ordnungsrechts voraus. Nur mit auch regulatorischer Innovation, die beispielsweise auch Auditierung oder Zertifizierung umfasst, können effektive Leitplanken für die Dynamik der IT-Entwicklung geschaffen werden. Es ist unabdingbar, Regelungen technikneutral auszugestalten werden müssen. Zugleich bleiben wirksame Aufsicht und ein effektives Sanktionssystem Grundvoraussetzungen für eine glaubwürdige Prävention. Schließlich muss der Gesetzgeber sich darüber klar werden, dass es letztlich um den Schutz von Informationen und nicht allein um Daten geht. Informationen über Menschen bestimmen Entscheidungen über BürgerInnen, auch und eben jenseits von rein technischen Daten. Die Implikationen des Wissens gehen über die individuellen Datensätze hinaus.

Prävention und Datensouveränität

Die Kontrolle über die „eigenen Daten“ scheint in einer weitgehend vernetzten digitalen Welt immer schwerer. Leitbild muss die Datensouveränität der BürgerInnen sein, die sich allerdings nicht in einen uneinlösbaren Selbstschutz erschöpfen darf. Wie in zahlreichen anderen Bereichen hat sich auch hier das alleinige Setzen auf Selbstverpflichtungen als Irrweg erwiesen. Bezüglich vorgegebener Datenschutzbestimmungen ist eine Umkehr und Rückgewinnung der Datensouveränität der VerbraucherInnen nötig, die sich direkt aus dem Recht auf informationelle Selbstbestimmung ableiten und durch technische Möglichkeiten wie Dezentralisierung, Anonymisierung, Datenverschlüsselung und Datensparsamkeit umsetzen lässt. Darüber hinaus ist eine Zweckbindung jeglichen Umgangs mit Daten einzuhalten, die technisch unter anderem durch die Grundsätze Privacy by default und Privacy by Design eingelöst werden können, indem Datenschutz schon bei der Entwicklung neuer Technologien und durch datenschutzfreundliche Voreinstellungen berücksichtigt wid. Das Grundprinzip der Prävention gilt auch hinsichtlich der Profilbildungen, die bereits bei der Erhebung ansetzen.

Reformen auf europäischer Ebene

Wir unterstützen die EU-Datenschutz-Grundverordnung als den zentralen Rechtsrahmen für alle EuropäerInnen. Sie muss so schnell wie möglich in Kraft treten und darf nicht weiter ausgebremst werden. Gleichzeitig sind weiterhin nationale Anstrengungen für klare gesetzliche Regelungen nötig. Deutschland muss Europas Motor für Reformen in Sachen Datenschutz bleiben. Denn die EU-Reform kann und wird nicht alle Bereiche umfassen.

Regelungsansätze auf unterschiedlichen Ebenen

Die bestehenden Schutzkonzepte bedürfen einer umfassenden und grundlegenden Weiterentwicklung, die erst auf verschiedenen Ebenen und mit ganz unterschiedlichen Instrumenten ansetzt. Im Einzelnen hat die Diskussion um die EU-Datenschutz-Reform zahlreiche wichtige Reformansätze aufgezeigt. Beispielsweise sollten nicht allein personenbezogene Daten, sondern auch Daten in den Anwendungsbereich datenschutzrechtlicher Regulierung hineingenommen werden, die zu einem späteren Zeitpunkt Auswirkungen auf die Persönlichkeitsrechte haben können. Ein solcher Ansatz ist wichtig, um die Folgen von Big Data regulierend zu steuern.

Wir als grüne Bundestagsfraktion fordern weiterhin eine bundesgesetzliche Regelung für Gütesiegel und Auditierungen, um einen unabhängigen und freiwilligen Wettbewerb um den besten Datenschutz ermöglichen zu können. Und wir fordern anspruchsvolle gesetzliche Lösungen, um ein Privacy by Design sowie ein Privacy by Default in die Prozesse und Produkte zu implementieren. Dazu zählt auch die Aktivierung des Zivilrechts, wie etwa der Deutsche Juristentag 2012 mit vielen guten Vorschlägen aufgezeigt hat.

Klare gesetzliche Regelungen anstatt uneinlösbarer Selbstschutz

Der Schwerpunkt auf den Selbstschutz der NutzerInnen sowie auf Selbstregulierungen greift entscheidend zu kurz. Das allgemeine Verständnis von Verantwortlichkeit für den Schutz privater Daten muss wieder neu justiert werden. Betreiber technischer Infrastrukturen, IT-Hersteller, sowie verantwortliche Datenverarbeiter müssen durch Transparenz und Kontrolle das Vertrauen der NutzerInnen herstellen. Gleichzeitig sollte die Kontrolle der NutzerInnen im Grundsatz durch eine Zustimmung zur Datenverarbeitung erfolgen und der Grundsatz des Opt-In verankert werden (Verbot mit Erlaubnisvorbehalt und Einwilligungsvorbehalt für datenverarbeitende Stellen).

Aufsicht und Kontrolle stärken

Die Stärkung der Datenschutzaufsicht durch eine bessere Ausstattung, Unabhängigkeit und effektiven Sanktionsmöglichkeiten bei Verstößen ist nötig. Allerdings ist der bisherige Schwerpunkt des Datenschutzes auf öffentlich-rechtliche Ordnungslösungen nicht mehr ausreichend. Stattdessen muss zusätzlich über privatrechtliche Instrumente gesteuert werden, zum Beispiel über die Ausweitung von Haftungsnormen für Anbieter wie auch für Produzenten von Hard- und Software. So wird sichergestellt, dass Datenschutz bereits per Design Eingang findet in den Produktions- und Nutzungszyklus der IT. Eine zusätzliche Registrierungspflicht für bestimmte Verfahren der Verarbeitung personenbezogener Daten ist einzuführen. Ein Verbandsklagerecht ist für die effektive Rechtsdurchsetzung unabdingbar, wie auch die Möglichkeit der Verordnung hoher Bußgelder.

Transparenz und Sicherheit bei der Datenverarbeitung

Die Transparenz über statistische Analyseverfahren beim Scoring muss grundlegend verbessert werden. Scoringverfahren, die auf Grundlage allgemeiner Erfahrungswerte und persönlicher Daten Wahrscheinlichkeitswerte beispielsweise für die Rückzahlung eines Ratenkredits ermitteln, bestimmen maßgeblich darüber, ob bzw. zu welchen Konditionen VerbraucherInnen Kredite oder bestimmte Verträge angeboten werden. Die derzeitigen Regelungen, die den wirtschaftlichen Interessen der Scoringunternehmen den Vorzug gegenüber dem Interesse der VerbraucherInnen an Transparenz und Verständnis bezüglich der eingesetzten Verfahren geben, weisen in die falsche Richtung. Der Einsatz von Scoringverfahren muss in allen Einsatzbereichen offengelegt werden. Die für die Berechnung verwendeten Daten sowie deren Stellenwert für Entscheidungen müssen nachvollziehbar gemacht und unter den Vorbehalt der Einwilligung gestellt werden. Hierfür bedarf es einer Überarbeitung des geltenden Auskunftsanspruchs im Bundesdatenschutzgesetz. Unternehmen, die hauptsächlich oder in erheblichem Umfang personenbezogene Daten verarbeiten, müssen aktuelle Informationen über das zu ihren KundInnen vorhandene Wissen abrufbar vorhalten und in regelmäßigen Zeitabständen darüber informieren. Geoscoring für Verbraucherverträge muss untersagt werden. Computerisierte Bewertungen von Stadtteilen dürfen nicht darüber entscheiden, ob die dort lebenden Personen zum Beispiel einen Kredit erhalten.

4391646