Das Thema der Datensicherheit ist nicht mehr nur für Unternehmen wichtig, sondern gerät auch für private Anwender immer mehr in den Fokus.
Heutzutage ist es fast unmöglich, das Thema Datenschutz nicht zu beachten. Die am 25.Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) der Europäischen Union regelt durch europaweit gültige Vorgaben die Speicherung und den Schutz von Daten und macht es Nutzern so einfacher gegen Datenmissbrauch vorzugehen. Die DSGVO gilt somit als Hauptquelle zur Klärung von Fragen, die den Datenschutz betreffen. Durch eine Vielzahl von Öffnungsklauseln sind jedoch individuelle Anpassungen der Mitgliedstaaten möglich. In Österreich bleiben die meisten Verstöße jedoch straffrei. Strafen sind nur für Wiederholungstäter, mit Ausnahmen, angedacht. Öffentliche Einrichtungen sollen allgemein straffrei bleiben.
Die DSGVO ist nicht nur eine Umstellung aus unternehmerischer Sicht, auch Nutzer befassen sich immer mehr mit dem Umgang ihrer Daten. Nach Skandalen um den Datenhandel, wie der erst kürzlich publik gewordene Facebook-Datenskandal, reagiert die Bevölkerung immer sensibler auf das Thema. BürgerInnen sind vermehrt verunsichert, was mit ihren Daten geschieht und haben Angst vor einem Missbrauch ihrer Daten.
Um die Problematik mit dem Datenhandel spielerisch darzustellen soll das folgende, fiktive Gespräch Aufschluss über die Motive und Vorbehalte im Umgang mit personenbezogenen Daten geben. Der Dialog findet zwischen der Bürgerin Susanne Bauer und dem Mitarbeiter eines Datenverwertungsunternehmens, Filip Radler, statt. Susanne Bauer arbeitet seit mehr als 20 Jahren als Versicherungsberaterin in einem größeren Unternehmen und hat daher viel Erfahrung im Umgang mit sensiblen Daten. Sie steht dieser Thematik sehr kritisch gegenüber und hat einige Fragen. Filip Radler sammelt und analysiert Daten, um die User der auftraggebenden Unternehmen zu identifizieren und einzuteilen. Die Europäische Kommission versucht, zwischen den beiden Standpunkten zu vermitteln.
Teil1, Der Meinungsaustausch
Susanne Bauer:
„Diese Diskussion sollte es nicht einmal geben, da Daten nicht ohne Einverständniserklärung der jeweils betroffenen Person verwendet werden sollten, unabhängig jeglicher Motive der Unternehmen. Ich bin wehrlos, solche Aktionen sollten drastischere beziehungsweise rechtliche Konsequenzen nach sich ziehen.“
Filip Radler:
„Wer nicht möchte, dass seine Daten gespeichert werden, sollte diese schlussendlich nicht veröffentlichen. Auch Cambridge Analytica hat sämtliche Daten anhand Persönlichkeitstests, die die Zustimmung des Benutzers auf den Zugriff privater Daten wie das Userprofil und die damit verbundenen Kontakte voraussetzt, erhoben. Wir sind gewinnorientiert und das ist unsere Materie, die zusammengefasst das Analysieren von Daten und somit das Konsumverhalten der Menschen ist. Facebook hingegen hat den Zugriff auf jene Daten bereits mit Eröffnung des Kontos und der Einwilligung des Users der Nutzungsbedingungen erhalten.“
Susanne Bauer:
„Es ist aber nicht das gleiche, Daten zu analysieren um zum Beispiel demografische oder sozio-kulturelle Statistiken zu erstellen, um mich in weiterer Folge mit gezielten Botschaften versuchen zu manipulieren.“
Filip Radler
„Wie unsere Kunden die von uns erhobenen Informationen verwerten, können wir nicht beeinflussen. Dafür müssen Sie unsere Kunden direkt kontaktieren, da wir nicht in deren Geschäftspläne eingeweiht sind.“
Susanne Bauer
„Ihre Einstellung ist ethisch problematisch. Sie können es zwar nicht beeinflussen, aber Sie geben ihren Kunden die Mittel mich gegebenenfalls gegen meinen Willen zu manipulieren, aufgrund meiner Daten.
Filip Radler:
„Die Sie, nach Zustimmung der Nutzungsbedingungen, uns frewilig geliefert haben!“
Susanne Bauer:
„Die Facebook-Klauseln sind für Menschen wie mich, die keine juristische Ausbildung durchlaufen hat, schwer verständlich. Man denkt, man stimmt nur Facebook zu die Daten zu sammeln. Dabei sind in den Nutzungsbedingungen andere Unternehmen, die nicht zu Facebook gehören, miteingeschlossen.“
Filip Radler:
„Die Daten, die von Cambridge Analytica verwendet wurden, stammen aus einer App, die freiwillig genutzt wurde. Facebook-Nutzer konnten hier per Standardeinstellung festlegen, welche Menschen ihr Profil sehen können und dass die dort sichtbaren Informationen in andere Apps übertragen werden. User können diese Einstellung auch selbst ändern! Die Nutzer sollten sich den Nutzungsbedingungen von Facebook bewusstwerden, genauso wie Sie vor dem WC-Besuch den Toilettendeckel anheben.“
Susanne Bauer:
„Viele Nutzer wissen das vermutlich nicht oder sehen die Gefahr des Datenhandels nicht. Man muss die Bevölkerung mehr für Datenschutz sensibilisieren!“
Filip Radler:
„Dies ist nicht Teil unserer Aufgabengebiete, da müssen Sie schon die zuständigen Behörden, wie die EU-Kommission damit beauftragen.“
EU-Kommission:
„So leicht können Sie sich nicht aus dem Schneider ziehen. Mit der Einführung der DSGVO gelten für Unternehmen europaweit verbindliche Vorgaben zur Datenspeicherung und zum Datenschutz. Es gibt Grundsätze für Unternehmen in Bezug auf die Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Vertraulichkeit und Rechenschaftspflicht der Verarbeitung personenbezogener Daten. So dürfen diese für festgelegte, eindeutige, legitime Zwecke erhoben werden, aber nicht in einer damit nicht zu vereinbarenden Weise verarbeitet werden. Eine Verletzung liegt vor, bei Verlust sensibler Daten, oder bei Zugriff, Veränderung oder Verwendung unberechtigter Personen. Datenanalyseunternehmen sollten hier bezüglich der Rechtmäßigkeit der Verarbeitung besonders genau betrachtet werden.“
Teil 2, Die Rechtssprechung
EU-Kommission:
„Betroffene Personen, deren Daten gesammelt und weiterverbreitet werden haben verschiedene Rechte dagegen vorzugehen. Die am 25.Mai eingeführte Datenschutzgrundverordnung hilft Menschen eine bessere Kontrolle über personenbezogene Daten zu haben, hierzu zählen zum Beispiel Name und Privatanschrift aber auch sensible Daten wie Gesundheit, politische Meinung oder sexuelle Orientierung.“
Susanne Bauer:
„Und wie kann man gegen diese Datenverarbeitung vorgehen? Oder was mache ich wenn ich denke, dass der Schutz meiner Daten verletzt wurde?“
EU-Kommission:
„Sie können, wenn sie von einem Unternehmen zur Verarbeitung der Daten um Einwilligung gebeten wurden diese widerrufen. Die Verarbeitung muss sofort beendet werden, falls sich die Verarbeitung nicht auf einer anderen Rechtsgrundlage gestützt hat.
Wenn sie denken, dass eine Datenschutzverletzung vorliegt, können Sie jederzeit Beschwerde bei nationalen Datenschutzbehörden einlegen. Diese kann Organisationen Sanktionen wie die Aussetzung oder Beendigung der Datenverarbeitung und Geldbußen auferlegen. Wenn Sie geschädigt wurden können Sie auch Schadenersatz fordern, indem Sie rechtliche Schritte einleiten.“
Filip Radler:
Unser Unternehmen fragt immer ab, ob Daten weiterverwertet werden dürfen, deshalb liegt es oftmals an anderen Unternehmen, die z.B. Facebook’s iFrame, bzw. andere Funktionen in ihre Webseiten einbetten, ohne ihre Datenschutzbestimmungen modifiziert zu haben. Da können wir nichts machen. Aber wie schon gehört, gibt es die Möglichkeit die Datenverwertung zu widerrufen.
Viele Menschen wissen vermutlich, wie Susanne Bauer, nicht, wo Daten wie und mit welchen Zielen eingehoben werden.
Wesentlich für den Schutz eigener personenbezogener Daten ist es, sich vorab darüber zu informieren wer eine Berechtigung für den Zugriff auf die Daten hat und welche Schlupflöcher Unternehmen womöglich nutzen könnten um Daten zu sammeln. Um das Risiko einer Verletzung des Datenschutzes zu mindern ist es wichtig, vor Bekanntgabe persönlicher Daten, sich mit den Datenschutzrichtlinien des jeweiligen Unternehmens auseinanderzusetzen. Sollte ein Missbrauch der Daten vorliegen sollte dieser rasch gemeldet werden. Dies muss innerhalb von 72 Stunden nach bekannt werden beim Verantwortlichen geschehen, eine etwaige Verzögerung der Meldung ist zu begründen. Beinhalten muss sie eine Beschreibung der Verletzungsart, Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes und eine Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Verletzung. Alle Verletzungen des Schutzes personenbezogener Daten müssen dokumentiert werden um der Aufsichtsbehörde zu Überprüfung der korrekten Einhaltung der Meldepflicht zu dienen. Eine Nicht-Meldung einer Datenpanne kann folglich mit einem Bußgeld von bis zu 10 Millionen Euro bestraft werden.
Über die Autorinnen
Zorana Maksimovic, Absolventin der Hertha Firnberg Schulen für Wirtschaft und Tourismus mit dem Schwerpunkt Computer Science Management, studiert derzeit im 4. Semester des Bachelor-Studiengangs Medienmanagement an der FH St. Pölten. Die ersten journalistischen Erfahrungen sammelte sie als Redakteurin für SUMO, das studentische Medien-Fachmagazin der FH St. Pölten.
Victoria Ullrich, Absolventin der HTBLVA Spengergasse mit dem Schwerpunkt Kunst und Design studiert derzeit im 4. Semester des Bachelor-Studiengangs Medienmanagement an der FH St. Pölten. Erste journalistische Erfahrungen sammelte sie als Redakteurin für SUMO, das studentische Medien-Fachmagazin der FH St. Pölten.
Artikel verfasst im Sommersemester 2018.