Constanze Kurz vom CCC hat in der Sonntaz in einer Kolumne über den Datenbrief geschrieben: Denn sie sagen nicht, was sie tun. (Übrigens schöne Überschrift!) Dabei geht sie auch auf zahlreiche kritische Kommentare ein, wie sie sich z.B. hier in der Diskussion finden.
Es hat sich wie ein Lauffeuer herumgesprochen, obwohl die Idee bereits einige Monate kursierte: Der Vorschlag eines Datenbriefs, mit dem jeder informiert wird, wenn über ihn irgendwo Daten gespeichert werden, wird überraschend rege debattiert – innerhalb und außerhalb des Netzes. Selbst amtierende Bundesminister schließen sich der Forderung an. Dabei ist die Idee absichtlich eher unscharf umrissen und zunächst zur Diskussion gestellt, um Pro- und Kontra-Argumenten, gerade auch für die praktische Umsetzung, Raum zu geben. […] Bei Firmen wie Auskunfteien, deren Geschäftszweck das Verkaufen und Weiterreichen persönlicher Daten ist, hält sich das Mitleid allerdings in Grenzen. Nur weil es sich eingebürgert hat, dass jeder alles sammelt, was er nur kriegen kann, um es kommerziell zu verwerten, rechtfertigt das noch keinen gesellschaftlichen Schutzraum. Ein Ziel hat der Vorschlag bereits erreicht: Viele Menschen denken darüber nach, welche Daten über sie wo gespeichert sind. Und bei den Datenkrakenlobbyisten fallen die Masken.
Ich muss hier mal zu einem längeren Kommentar ausholen der vielleicht zu grundsätzlich und zu utopisch ist.
Das mit dem Datenbrief ist schrecklich kompliziert. Und dass er so heiß diskutiert wird, ist ein Zeichen für die Stärke des Problems das die meisten erst jetzt erkennen.
Daten über uns sind bei Unternehmen und anderen Organisationen gespeichert von denen wir nichts wissen. Und wir möchten Kontrolle über unser informationelles Selbstbestimungsrecht zurückerobern, indem wir die Organisationen zwingen, uns mitzuteilen, was genau Sie denn über uns zu wissen glauben, um dann eventuell dagegen vorgehen zu können. Nur gibt es bei der Umsetzung des Datenbriefes so viele praktische Hürden, dass das ganze Konzept in Frage gestellt wird. Man sollte den Spieß einfach umdrehen und deshalb möchte ich ein ganz anderes Konzept in die Diskussion werfen: Ein persönlich verwaltetes Datenprofil.
1. So wie Personen einen Account bei einem E-Mail-Provider anlegen oder einen eigenen E-Mail-Server betreiben, so legen Sie ein eigenes Profil bei einem Provider oder auf einer selbst-betrieben Lösung an.
2. Die Personen entscheiden, welche Organisationen auf welche Felder zugreifen können (z.B. Wohnadresse für Pizzaservice, Anzahl der Kinder für Finanzamt).
3. Einige Felder werden von bestimmten Organisationen selbst ausgefüllt (z.B. Steuernummer durch Finanzamt).
4. Die Organisationen dürfen Daten für die Verarbeitung zwischenspeichern, die müssen aber nach einem Monat gelöscht werden. Dann müssen Sie die Daten neu abrufen. Und wenn die Person die Organisation vom Zugriff ausgesperrt hat, dann gibt’s halt keine neuen Daten mehr.
5. Der Gesetzgeber verpflichtet bestimmte Personen bestimmten Organisationen bestimmte Daten in ihrem Profil bereitzuhalten.
5. Die Weitergabe von Daten ist untersagt und personenbezogene Daten dürfen nicht anderweitig erhoben und/oder gespeichert werden. Daten dürfen nur aus dem Profil gezogen werden und die Person muss vorher angefragt werden.
6. Alle gespeicherten Daten über eine Person, die bereits ein Profils besitzt, müssen gelöscht und dürfen nur aus dem Profil erhoben werden. Organisationen können sich in einem zentralen Register informieren, ob eine Person ein Profil besitzt. Personen, die noch kein Profil haben, werden nicht dazu gezwungen, müssen jedoch mit dem bisherigen Datenschutz leben.
Fazit:
Der Datenbrief ist nur eine informationelle Selbstbestimmung auf der Metaebene. Unternehmen sollten bestimmte Daten über uns gar nicht erst haben. Mit dem selbst bestimmten Datenprofil können wir steuern, welche Daten sie überhaupt bekommen.
Nachteil: Es gibt natürlich Kriminalität und so wie ein E-Mail-Account gehackt wird, kann auch das Profil gehackt werden. Und das wäre natürlich ein Supergau, da alle Daten in einem Platz sind. Vielleicht sollte man hier in das Profil unterschiedliche Sicherheitsschichten mit verschiedenen Passwörtern für besonders sensible Daten vorsehen, die Daten werden außerdem verschlüsselt und das ganze wird noch mit Funk-Token begleit und mit Weihwasser besprenkelt.
eben tweetete jemand sinngemäß, er fände lustig, daß wohl alle annähmen, der datenbrief müsse in courier 10 pt. geschrieben und eingetütet und frankiert werden.
ist witzig, beschreibt aber die derzeitige diskussion ganz gut…