Die Herausgabe von Daten durch Internetfirmen ist nicht eindeutig rechtlich geregelt, das zeigt eine Studie aus Polen beispielhaft für die polnische Gesetzgebung. In der Folge entscheiden Unternehmen, nicht Recht und Gesetz über unseren Datenschutz. Das Vorhandensein zahlreicher Daten über uns im Netz ist mittlerweile kein Geheimnis mehr. Aber wer genau fragt eigentlich nach diesen Daten? Und wonach genau wird gefragt? Wie oft? Und mit welcher Absicht?
Katarzyna Szymielewicz, Mit-Gründerin und Vorsitzende der Panoptykon Stiftung Polen und Vize-Präsidentin von EDRi möchte das genauer wissen. Ihr zufolge befinden wir uns in einem Dschungel, einer Überwachungsmatrix, aus der wir herausfinden müssen. Als Schutz gegen die konstante Überwachung helfe nur mehr Transparenz. Sie stellte sich bei der re:publica’14 der Aufgabe, auf Grundlage ihrer Studien mit Panyoptikon die drängenden Fragen zu beantworten und den Überwachungsdschungel etwas zu lichten. Um dem Publikum klar zu machen: Why you should know who has been asking about you.
In einer Pilotstudie befragten sie die zehn größten Internetunternehmen in Polen. Darüberhinaus schickten sie dieselben Fragebögen leicht abgeändert an die polnischen Behörden, die Daten anfragen können, wie Staatsanwaltschaft, Polizei und Geheimdienste. Nur vier der zehn angefragten Firmen antworteten überhaupt, und deren Informationen stellten sich als sehr heterogen heraus. Während beispielsweise eine Firma auf fast alle behördlichen Anfragen Daten herausgab, lieferte eine andere nur in einem Sechstel der Fälle Informationen an die Behörden. Im (polnischen) Rechtssystem fehlt es an klaren Standards, wie sich Firmen bei einer solchen Anfrage zu verhalten haben, es obliegt ihrer eigenen Einschätzung, ob sie die Forderung als rechtmäßig anerkennen oder nicht. Es sind also Firmen, nicht Recht und Gesetz, die über den Schutz der Daten entscheiden, kritisiert Szymielewicz.
Interessant ist nicht nur, wie oft gefragt wird, sondern auch, wer eigentlich fragt: Den Daten zufolge handelt es sich meistens um Staatsanwaltschaft und Polizei, die Nutzerdaten anfordern, und nur zu einem geringen Teil um Geheimdienste. Szymielewicz stellt jedoch die Glaubwürdigkeit dieser Informationen in Frage, es gibt keine Garantie für die Richtigkeit der Aussagen.
Zudem bleiben die zentralen Fragen unbeantwortet: Warum gefragt wird, wer Ziel der Untersuchung ist und wie tief die Datenherausgabe in unsere Privatsphäre eindringt. Zu all diesen Themen gab es weder von den Unternehmen noch von den Behörden Auskünfte.
Szymielewicz schlussfolgert, es gebe keine Kontrolle über behördliche Datenspeicherung, immer wieder würden Schlupflöcher missbraucht, und es fehle an rechtlichen Schutzbestimmungen. Im Anschluss an ihren Vortrag folgte eine kurze Publikumsdiskussion über mögliche Lösungen für die umrissenen Probleme.
Der vollständige Bericht von Panoptykon findet sich bei panoptykon.org und das Video von Szymielewicz‘ Vortrag ist auf YouTube.
Der Folgerung Szymielewicz‘, nur mehr Transparenz biete Schutz vor permanenter Überwachung, kann ich mich nur anschließen.
Bürger und Verbraucher haben die Hosen unten und kriegen nicht mal einen roten Kopf – und sie merken nicht, wie sie manche damit beglücken.
Nur wenn – und ich bleibe mal nur bei der Wirtschaft – Unternehmen in puncto Datenverwertung transparent sind und auch etwas von ihren besten Stücken herzeigen, kann ein Verbraucherbewusstsein entstehen und wachsen.
Konkret verlange ich etwa als User von einem digitalen Dienst folgende Punkte zu klären – und zwar unübersehbar, deutlich und am besten so, dass es bei der Nutzung des Dienstes stets spürbar ist:
Welche meiner Daten werden erhoben? Welche werden wo, wie und über welche Zeiträume gespeichert? Wie verarbeitet? Wie genutzt? Sind sie anonymisiert? Und falls nicht, warum? Wer hat Zugriff? An wen werden sie weitergereicht und warum? …
Da gibt es sicher noch mehr Punkte, aber ich glaube bis hier hat sowieso niemand gelesen.