EU-Justizkommissarin Viviane Reding steht nicht im Verdacht mangelnder politischer Durchsetzungsstärke. Dass sie sich im letzten November für ihr aktuelles Großprojekt, die EU-Datenschutzreform, der öffentlichen Unterstützung ausgerechnet der deutschen Verbraucherschutzministerin Aigner versicherte, darf als programmatisches Signal verstanden werden. Aigner ist im Bundeskabinett nicht zuständig für Datenschutz. Aber mit ihren öffentlichen Angriffen gegenüber Facebook und ihrer beharrlichen Warnung vor „Datenkraken“ hat sie in dieser Diskussion durchaus stilbildend gewirkt.
Es ging im gemeinsamen Pressetermin im November also um ein Doppel-Signal: Die anstehende Novelle des EU-Datenschutzes soll den Verbrauchern dienen. Und: Deutschland mit seinen hohen Datenschutzstandards und seiner – oft eher als diffuses Unwohlsein wahrgenommenen – Datenschutzsensibilität soll Vorbild für Europa sein. Aigners Engagement hat natürlich seine Berechtigung. Datenschutz ist fraglos auch Verbraucherschutz. Nur ist ein allgemeines „Unwohlsein“ generell kein guter Ratgeber für Gesetzgebung. Was steckt also abseits politischer Rhetorik konkret hinter der Angst vor Datenkraken? Angesprochen fühlen dürfen sich jene großen globalen Plattformen, die die Bereitstellung ihrer Dienste mit einem quasi unkontrollierbaren Zugriff auf die persönlichen und persönlichsten Daten ihrer Nutzer bezahlen lassen, also das, wofür in den USA der Begriff „privacy bargain“ geprägt wurde.
Der Deal funktioniert, weil Nutzer ein hohes Interesse am unentgeltlichen Zugang zu all den attraktiven und nützlichen Diensten im Internet haben: Egal ob E-Mail, Suche, Qualitätsjournalismus oder Soziale Netzwerke – (fast) alles ist ohne Entgelt im Netz nur einen Klick entfernt. Der ökonomische Mehrwert für den Nutzer ist ungemein hoch: McKinsey hat in einer Studie für das IAB Europe zum „Consumer Surplus“ durch digitale Dienste nachgewiesen, dass im Schnitt vierzig Euro im Monat pro Haushalt anfallen würden, wenn all das direkt bezahlt werden müsste - eine Summe, die „in Geld“ kaum jemand zu zahlen bereit oder auch nur in der Lage wäre. Die entgeltfreie Verfügbarkeit dieser Dienste hat noch eine weitere segensreiche Wirkung: Sie mindert die Gefahr einer digitalen Spaltung, die drohte, wenn nur noch Begüterte Zugang zu diesen Online-Angeboten hätten.
Aber auch im Internet gelten ökonomischen Gesetze: Voraussetzung für unentgeltliche Dienste ist die Refinanzierbarkeit über Werbung. Mehr noch: Weil Werbung hier nicht so „unausweichlich“ ist wie Unterbrecherspots im Fernsehen und weil die Werbeerlöse häufig am Klick des Nutzers hängen, muss sie auch relevant für den Nutzer sein. Sie darf ihn nicht spammen. Online gilt für Dienste wie auch für Werbung: „Pull“ statt „Push“.
Folgt hieraus zwangsläufig ein ungezügeltes „privacy bargaining“ und der „gläserne Nutzer“? Müssen sich Nutzer wirklich entscheiden: Datenschutz oder attraktive Online-Angebote? Die deutsche und europäische Online-Wirtschaft haben längst gezeigt, dass es vermittelnde Wege gibt. Targeting-Modelle, die durch Anonymisierung und Pseudonymisierung die Personalisierbarkeit des Nutzers ausschließen, sind hierzulande so stark, weil die Anbieter die Relevanz vernünftigen Datenschutzes für ihre Nutzer als Qualitätsmerkmal begreifen. Die Online-Wirtschaft kämpft nicht gegen ihre Kunden, sondern ist von ihrem Vertrauen abhängig.
Datenschutz ist damit also längst auch eine Standortfrage – dies gilt indes auch für den gesetzlichen Rahmen. Im Internet stehen alle Anbieter zwangsläufig im globalen Wettbewerb. Strengere Auflagen im Heimatland sind ein Extrapaket, das hiesige Anbieter zusätzlich schultern müssen. Das ist kein Grund, einem regulatorischen „race to the bottom“ das Wort zu reden. Der stattdessen auch von der Kommission verfolgte Ansatz, ein „level playing field“ zu schaffen, ist richtig. Die Verordnung würde wenigstens innerhalb Europas das Datenschutzniveau vereinheitlichen und damit die Unterschiede im Rechtsrahmen und der Durchsetzungspraxis nivellieren. Außerdem will die Kommission – endlich – das europäische Recht auch für Anbieter aus Drittstaaten wirksam werden lassen, wenn diese Europa als Markt bedienen. Beides ist richtig und wird den Wettbewerb stärken.
Nur: Auch die Lücken in diesem Prinzip sind schon eingewoben. Per „Safe Harbor“-Abkommen werden auch künftig Datentransfers ins Ausland möglich sein, und zwar schlicht auf der Basis der – praktisch nicht überprüfbaren – Behauptung, dass das Schutzniveau dort vergleichbar sei. Das war schon bisher eine durch Studien belegte Chimäre und es ist nicht erkennbar, wieso sich hieran künftig etwas ändern sollte.
Die eigentliche Crux liegt aber woanders: Schon der Grundansatz der Verordnung setzt nicht die richtigen Anreize für datenschutzfreundlichen Modelle, wie sie die deutsche und europäische Industrie bieten. Die Fortschreibung des traditionellen deutschen Datenschutzansatzes mag zwar formal konsequent sein. Gleichzeitig erhebt sie aber das US-amerikanische „privacy bargaining“ faktisch zum Prinzip. Der Entwurf will alles über einen Kamm scheren und stellt im Grunde nur noch die Frage, ob denn eine Einwilligung vorliegt. Er bevorteilt – sei es gewollt oder nicht – globale, registrierungs-basierte Plattformen, die eine Einwilligung zur Voraussetzung für die Dienstnutzung machen können. Die Vorschläge leisten damit der Entwicklung geschlossener Ökosysteme in der Dienstelandschaft Vorschub, wo eine einzige Einwilligung den flächendeckenden Deal besiegelt. Kleine Wettbewerber, Nischenanbieter oder auch journalistische Angebote, die gar keinen Login brauchen, haben das Nachsehen.
Dabei wird der Einwilligung erstaunlich viel zugemutet: Transparenz, Wahlfreiheit, Rechtssicherheit – alles verpackt in einem Klick, hinter dem das Daten-Schlaraffenland für den Diensteanbieter wartet. Auf der Strecke bleiben ausgerechnet jene Elemente, die die Datenschutzdebatte aus dieser Logik des „ privacy bargaining“ wenigstens teilweise befreien könnten.
Reding und Aigner schreiben sich Datensparsamkeit auf die Fahnen. Aber wie sichert die Einwilligung überhaupt Datensparsamkeit? Wo sind die Anreize für Anonymisierung oder Pseudonymisierung von Daten, die Relevanz von Werbung ermöglichen, ohne den gläsernen Nutzer zu hinterlassen? So verstanden könnte Datenschutzpolitik auch Standort- und Wirtschaftspolitik sein - nicht durch ein Absenken von Schutzniveaus, sondern durch intelligente und differenzierte Anreizsysteme.
Es kann also nicht schaden, wenn Kommission und Parlament neben Verbraucherministerinnen auch das aus gutem Grund in Deutschland für den Online-Datenschutz zuständige Bundeswirtschaftsministerium einmal konsultierten.
Der Beitrag ist die leicht gekürzte Fassung eines Artikels in der Zeitschrift „Horizont“ vom 1. März 2012.
Unsere Kommentarfunktion ist ein Angebot von DISQUS. Hierzu werden Daten an DISQUS übermittelt und durch diese verarbeitet. Wir binden Ihre Kommentare nur im Auftrag ein und kümmern uns die Darstellung und Moderation der Beiträge. DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an, zudem können Sie auch als Gast kommentieren (Anleitung). Weitere Informationen finden Sie in unserer Datenschutzerklärung