Vor einigen Jahren schrieb ich einmal in der F.A.Z. einen Artikel mit dem Namen „Die überforderte Zunft“. Die wesentliche Kernaussage des Artikels war, dass die im Bundesdatenschutzgesetz BDSG) definierte Rolle der/s betrieblichen oder behördlichen Datenschutzbeauftragten in der Realität nicht sinnvoll und erst Recht nicht gut zu besetzen sei. Wenn man einen Menschen suchte, der diese Rolle gut ausfüllen könne, so müsste dieser Informatik sowie zusätzlich Jura – beides in passenden Spezialisierungen – studiert haben, in beiden Disziplinen mindestens zehn Jahre Berufserfahrung aufweisen und zugleich keine Führungsrolle in der Organisation innehaben oder anstreben.
Solche Einhörner gab und gibt es nicht. Folgerichtig erntete ich damals (weit vor der DSGVO, übrigens) erwartbarerweise regen Widerspruch aus den Branchenverbänden, obwohl mein Artikel eigentlich eher ein Plädoyer dafür war, der Rolle mehr Wertschätzung entgegenzubringen.
Schauen wir uns doch an, was sich seitdem in der Branche getan und was die DSGVO gebracht hat.
Nichts.
Nein, ehrlich! Das ist das Resümee, das man ziehen muss, wenn man sich die Entwicklungen objektiv ansieht. Und zwar nicht deshalb, weil es keine bemühten Menschen und Organisationen gäbe, die das Thema nach vorne brächten oder es nicht sehr viel guten Willen oder Aktivitäten und Investitionen rund um den Datenschutz gäbe.
Das ist alles nicht das Problem. Es gibt engagierte Menschen, es gibt viel Aktivität, vereinzelt wird sogar relevant viel Geld in die Hand genommen. Mittlerweile haben sogar die meisten Menschen den eigentlichen Sinn des Datenschutzes verstanden und halten zumindest die dahintersteckende Idee nicht für grundfalsch und nur ausgedacht, um bösartig Dinge zu verhindern.
Das Problem ist, dass die anstehenden, dringenden Probleme und Herausforderungen viel zu groß sind, als dass sie sich irgendjemand anzufassen trauen würde. Stattdessen fummelt die komplette Branche kollektiv an Randproblemchen, die absolut keine sind, herum.
Ich picke einfach mal ein Beispiel heraus, um meinen Gedankengang nachvollziehbarer zu gestalten. Gefühlt die Hälfte der Branche kümmert sich seit Jahren um kleine Scripte auf Websites, die beim erstmaligen Aufruf der Seite einen Overlay anzeigen, der verschiedene „Einstellungsmöglichkeiten“ für das seit über zehn Jahren bzgl. Datenschutz unwichtigste Gimmick der Welt anpreist: Cookie-Banner. Es scheint nichts Wichtigeres auf der Welt zu geben, als dass wir täglich auf mindestens 20 von diesen Bannern starren und uns den sinnentleerten Text darauf zu Gemüte führen.
Ich sage Ihnen jetzt mal, wie es ist. Ganz unter uns. Cookies sind weitestgehend egal, was den Datenschutz angeht. Echt jetzt. Und das Beste: wenn Sie sie nicht wollen, können Sie sie ohnehin total selbständig, nachhaltig und viel zuverlässiger als durch Cookie-Banner verhindern. Denn Sie haben die Macht in Form der Cookie-Einstellungen Ihres Browsers. Nutze die Macht, Luke.
Sinnvolle Einstellungen wären hier bspw. „Cookies zulassen, aber beim Beenden löschen“ sowie „Cookies von Drittanbietern nicht zulassen“. Das hat zur Folge, dass man normal am Internetgeschehen teilhaben kann (denn genau gar keine Seite dieser Welt verlässt sich darauf, dass Cookies bei Ihnen permanent gespeichert werden), Sie beim nächsten Besuch typischerweise aber nicht sofort wiedererkannt werden. Der einzige Nachteil ist ironischerweise, dass Sie nach jedem Neustart des Browsers wieder das verdammte Cookie-Banner sehen werden – denn dieses erkennt über Cookies, wie Sie mit Cookies umzugehen wünschen. Ja ehrlich, so ist das. Somit heißt das auch, dass diese Banner diejenigen bestrafen, die sich sinnvoll selbst um ihre Cookies kümmern – sie werden bis in alle Ewigkeit gezwungen, Cookie-Banner zu lesen (wobei es derweil auch dafür sinnvolle Browser-Erweiterungen gibt; „I don’t care about Cookies“ beispielsweise).
Aber auch wenn Sie Cookies wie oben beschrieben behandeln oder sogar komplett unterbinden: es ist nicht im Ansatz so wichtig, wie die Datenschutzbranche es glauben möchte, damit sie etwas zu tun hat, um sich vor den wirklichen Problemen zu drücken. Denn tatsächlich werden Sie von Werbenetzwerken oder sonstigen fiesen Gesellen im Netz nur noch sehr selten über Cookies wiedererkannt. Das war Stand der Technik in den Neunzigern, als man noch maximal einen Computer hatte.
Heutzutage besitzt praktisch jeder Mensch mehrere Maschinen; er trägt im Normalfall mehrere vernetzte Rechner alleine am Körper. Daher interessiert die besagten Spione auch nicht mehr sonderlich, welche Maschine ihre Dienste nutzt, sondern welcher Mensch an dieser Maschine ist. Und dies erkennt man nicht über Cookies sondern über die Triviallösung Log-Ins oder aber – sehr viel fortgeschrittener – Ihr Verhalten. Ihr Nutzungsverhalten wird analysiert; ihre Lesegewohnheiten, Ihre Hörgewohnheiten, Ihre Klickeigenheiten, Ihre Art, mit Touchscreens umzugehen – all dies und noch viel, viel mehr ergibt einen sehr einzigartigen Fingerabdruck, anhand dessen Sie ein im Netz weithin präsenter Player ohne Probleme erkennen kann. Die bekanntesten Beispiele von Anwendern solcher Technologien sind beispielsweise Google und Facebook.
Fassen wir also zusammen: Sie können mit Cookie-Bannern herumdoktorn, bis der Arzt kommt – es nutzt Ihnen an den relevanten Stellen rein gar nichts und an den irrelevanten Stellen ist Ihre Browserkonfiguration sehr viel zuverlässiger als die schlecht aus dem Netz zusammenkopierten Scripte, die von den meisten Websites verwendet werden. Aber dennoch werden entsetzlich viele Ressourcen und Nerven der Nutzer in diesen danebenliegendsten aller Nebenkriegsschauplätze investiert.
Warum tun wir das? Weil wir dort das Gefühl haben, etwas tun zu können. Hier haben wir gefühlte Einflussmöglichkeiten. Und wir müssen nicht schauen, was man eigentlich wirklich tun müsste. Es ist ein bisschen wie der starke Drang, während einer Lernphase zu den Abschlussprüfungen den Ofen genau jetzt und sehr ausgiebig mit der Zahnbürste putzen zu müssen. Denn es gibt zahlreiche, vollkommen ungelöste Probleme des Datenschutzes, die den Kern der Sache – nämlich die Wahrung des Grundrechts auf informationelle Selbstbestimmung sowie humanistischer Grundwerte – um Potenzen stärker betreffen.
Die Elefanten im Raum sind (Auswahl):
- Big Data: Deanonymisierung durch große Datenmengen ist in extrem vielen Fällen möglich. Praktisch alle Anonymisierungsmechanismen, die da draußen eingesetzt werden, sind völlig untauglich
- Künstliche Intelligenz (so wie sie heute in Marketing und Politik „verstanden“ wird, also eigentlich Algorithmen und supervised machine learning): Eigentlich ist dies nur ein Teilproblem des Erstgenannten; quasi eine andere Art und Weise der Deanonymisierung
- Künstliche Intelligenz (im eigentlichen Sinne): In etwas fernerer Zukunft wird das Hauptziel des Datenschutzes nicht das verstecken vor anderen Menschen und Organisationen von Menschen sein, sondern das Verstecken vor Maschinen
- Vollkommen intransparente Datenflüsse innerhalb von Cloudarchitekturen
- Plattformkapitalismus
- Verschwinden der Trennschärfe von lokalen und entfernten Diensten: Nutzer können nicht mehr unterscheiden, welche Daten von ihnen lokal und welche in der Cloud verarbeitet werden. Somit sind sie auch unfähig, die unterschiedlichen Dienste und Geräte hinsichtlich des Verbleibs ihrer Daten zu beurteilen. Beispiel: Touchtastaturen auf Androidsmartphones; dies sind Apps wie alle anderen und sind normalerweise cloudbasiert. Sämtliche Eingaben werden also in die Cloud von meist gleich mehreren Unternehmen übertragen.
- Freidrehende Geheimdienste und weitreichende Polizeibefugnisse: Zu wenig Bissigkeit der Zunft ggü. häufig sinnfreier und bürgerrechtlich gefährlicher Überwachungswünsche seitens der Exekutiven. Der Datenschutz ist tatsächlich aus überaus naheliegenden Gründen vor allem anderen als Schutz des Bürgers vor dem Staat zu sehen. Das wird oft und gerne vergessen.
Nun gibt es selbstverständlich Vertreter der Zunft, die das alles auf dem Schirm haben. Einige sagen, dass die großen Räder von zentraler Seite gelöst werden sollten, einige geben ihr Bestes, die Themen im Rahmen ihrer Möglichkeiten zu adressieren. Das Gros jedoch versagt.
Und das muss aufhören, denn das Thema ist viel zu wichtig und wird mit Blick auf die weltpolitische Lage jeden Tag wichtiger.