DatensouveränitätDie Einwilligung ist das Problem

Immer wieder machen Unternehmen Schlagzeilen, weil sie sich Datenschutzeinwilligungen erschleichen. Wer hier nur gegen einzelne Verantwortliche vorgeht, wird das Problem nicht lösen, meint der Jurist Malte Engeler in seinem Kommentar zu unseren o2-Enthüllungen. Stattdessen brauche es ein grundsätzliches Umdenken im Datenschutzrecht.

Weg von der Einwilligung: Malte Engeler plädiert für einen Paradigmenwechsel im Datenschutz
Als das Verfassungsgericht das Volkszählungsurteil sprach, war nicht absehbar, dass bald jeder Mensch über Smartphones dauerhaft vernetzt sein würde. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Elly Brian

Der Mobilfunkanbieter o2 nimmt es Recherchen von netzpolitik.org zufolge offenbar in Kauf, dass Shop-Betreiber:innen bei Vertragsabschlüssen datenschutzrechtliche Einwilligungen einholen, von denen die Einwilligenden gar nichts wissen. Tatsächlich setze o2 sogar Anreize, die sie zu diesem Verhalten verleiten, so lautet der Vorwurf mehrerer Händler:innen.

Die entsprechenden Erklärungen würden vom Personal kommentarlos vorausgefüllt und dann von den Kund:innen mit einer alles umfassenden Unterschrift abgesegnet. Natürlich ohne, dass diese wissen, was sie damit alles unterschreiben. Denn zumindest auf dem Papier willigen sie darin ein, dass o2 mit ihren Verkehrs- und Bestandsdaten Nutzungsprofile erstellen und sie dann auf diversen Kommunikationskanälen zu Werbezwecken kontaktieren darf, um ihnen zum Beispiel Verträge mit mehr Datenvolumen zu verkaufen.

Eine derartige Praxis wäre aller Voraussicht nach rechtswidrig. Das Verstecken von Einwilligungen in längeren Vertragstexten sowie vorausgefüllte Kästchen genügen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) an wirksame Einwilligungserklärungen nicht. Auch das Gesetz gegen den unlauteren Wettbewerb spielt bei Werbeeinwilligungen eine Rolle, aber das ist hier nur am Rande relevant. Das Ergebnis wäre jedenfalls, dass die Nutzung der Daten der Kund:innen rechtswidrig wäre und o2 sich aufsichtsrechtlichen Untersagungen, Bußgeldern und Schadensersatzansprüche aussetzen würde.

Aber was folgt aus den Enthüllungen? Sofern sich die Recherchen weiter erhärten, wird o2 sicherlich Besserung geloben und versichern, in Zukunft darauf hinzuwirken, das Kund:innen jede einzelne Einwilligung erklärt wird. Damit sie von nun an auch wirklich wissen, was sie mit ihrer Unterschrift alles erklären. Vielleicht wird es auch für vergangene Verstöße Ärger geben, sei es für die Shop-Betreiber:innen, sei es für o2 selbst. Vielleicht wird es sogar Pressemitteilungen der Datenschutzaufsichtsbehörden oder der Verbraucherschutzverbände geben, in denen dann davon die Rede sein wird, dass man die digitale Souveränität der Kund:innen von Mobilfunkunternehmen gestärkt und der Transparenz zum Sieg verholfen habe.

Das zugrundeliegende Problem bliebe damit aber ungelöst. Denn die aufgedeckte Praxis bei o2 ist mehr als das unlautere Gebaren einer Branche, in der für Abschlüsse und Upsells an der Grenze der Legalität gearbeitet oder sie schlicht übertreten wird. Sie ist vielmehr Symptom eines strukturellen Problems im geltenden Datenschutzrecht. Und dieses Problem heißt „Einwilligung“.

Ein Urteil aus einer anderen Zeit

Die Einwilligung stand einst im Zentrum der Debatte um den Schutz vor staatlicher Datenverarbeitung. Im Volkszählungsurteil entschied das Bundesverfassungsgericht erstmals, dass „unter den Bedingungen der modernen Datenverarbeitung“ grundsätzlich jede Person selbst entscheiden dürfe, wer welche Daten über sie verarbeitet und schuf so das „Grundrecht auf informationelle Selbstbestimmung“. So einleuchtend dieser Fokus auf die Selbstbestimmung im ersten Moment erscheinen mag: Selbst im Kreise jener, die eindeutig zu Verfechter:innen eines starken Datenschutzes zählen, machte sich schnell Ernüchterung breit. So schrieb der prominente Datenschutzjurist und ehemalige hessische Datenschutzbeauftragte Spiros Simitis bereits wenige Monate nach dem Volkszählungsurteil in einem Fachaufsatz, dass das Volkszählungsurteil „nicht die Geburtsstunde eines neuen Grundrechts“ sei und es ein Datenschutz-Grundrecht genauso wenig gäbe wie zuvor.

Stattdessen stellte das Urteil die Weichen dafür, dass Datenschutz noch heute vorrangig als Unterkategorie des Persönlichkeitsrechts verstanden wird. Schon rein begrifflich legte das Bundesverfassungsgericht mit der informationellen Selbstbestimmung das Fundament für Slogans wie „meine Daten gehören mir“. Dass noch heute Datenschutz mit der Erteilung von Einwilligungen gleichgesetzt wird, überrascht deshalb nicht. Statt die strukturellen gesellschaftlichen und wirtschaftlichen Folgen einer allgegenwärtigen Datenverarbeitung in den Blick zu nehmen, lag und liegt der Fokus allein auf einer Stärkung der Entscheidungsmacht des Individuums. Die Schwäche dieses Ansatzes, der in Teilen auch die europäische Datenschutzgrundverordnung geprägt hat, wurde erst nach und nach deutlich.

Das Problem wird heute jedoch besonders greifbar, wenn man sich vergegenwärtigt, dass das Urteil im Dezember 1983 gesprochen wurde und in welcher technischen Realität die Richter:innen lebten. Als sie von den „Bedingungen der modernen Datenverarbeitung“ sprachen, war die primäre Bedrohung der neugierige Staat, der ungefragt Einblick nahm in das Leben der Menschen. Einen Monat bevor Apple mit dem Macintosch 1984 die grafische Benutzeroberfläche populär machen würde, war kaum vorstellbar, dass 40 Jahre später jeder Mensch über Smartphones dauerhaft vernetzt und digitale Kommunikation unerlässliche soziale Teilhabe sein würde.

Ging es 1983 noch darum, sich gegen neugierig an der Tür klingelnde Volksbefrager:innen zu wehren, geht es heute darum, jeden Herzschlag, jede intime Nachricht und jeden Schritt vor die Tür gegen wirtschaftliche Verwertung durch Datenverarbeitende zu schützen.

Selbstbestimmung nur für wenige

Und genau an dieser Stelle versagt ein rein auf Selbstbestimmung und digitale Souveränität verengter Datenschutz, wie sich in den immer gleichen Debatten um eine Stärkung der Einwilligung zeigt. Die Praxis von o2 ist dafür ein mahnendes Beispiel.

„Wer würde denn bitte freiwillig neun unterschiedliche Einwilligungen erteilen, wenn er die Wahl hat?“ fragt der namentlich verfremdete Shop-Betreiber Rainer Hartmann in dem Artikel. Die Antwort ist aber nicht so leicht, wie es scheint. Wer reflexartig „Niemand“ antworten möchte, übersieht, in welcher wirtschaftlichen und gesellschaftlichen Realität sich Kund:innen und Mobilfunkanbietende befinden. Oft genug sind an die Einwilligung Vorteile geknüpft, auf die viele nicht verzichten können, etwa die Nutzung von journalistischen oder sozialen Medien, ohne dafür Geld zahlen zu müssen.

Die Einwilligung ist nur in einer utopischen Welt ohne Machtungleichgewicht ein Ausdruck von Selbstbestimmung. In unserem von Abhängigkeiten und Herrschaftsverhältnissen geprägten Alltag ist eine Einwilligung hingegen immer auch Resultat von Zwängen. Ein reichhaltiger Vorrat an Zeit, Bildung, Geld und mentaler Kapazitäten sind das Privileg weniger. Teilhabe an der digitalen Infrastruktur mit ausreichend schnellem Volumen im Monat hingegen ist fast so unverzichtbar wie Arbeiten, Atmen und Schlafen.

Mehr Transparenz und höhere formelle Anforderungen an eine Einwilligung mögen diejenigen als Stärkung ihrer Position empfinden, die genug Zeit haben, sich jede Einwilligung erklären zu lassen. Die verstehen, was es bedeutet, dass Verkehrs- und Bestandsdaten zu Nutzungsprofilen verarbeitet werden. Die es sich leisten können, auf werbefinanzierte Tarife zu verzichten. Die Einwilligung bedeutet für diese privilegierte Minderheit die Freiheit von dem Zugriff der Datenkonzerne. Für die große Mehrheit aber bedeutet sie lediglich die Freiheit, ihre Daten eben jenen zur Verwertung überlassen zu dürfen.

Die Antwort auf Machtungleichheit und Abhängigkeit ist niemals nur mehr Transparenz. Deshalb kann auch die Forschung rund um Dark Patterns nur einen unwesentlichen Beitrag zur Lösung leisten. Der Kampf gegen die missbräuchliche Gestaltung von Benutzeroberflächen, um natürliche Verhaltensweisen von Menschen auszunutzen und in eine bestimmte Richtung zu steuern, erhöht zwar die Hürden für eine wirksame Einwilligung. Solange die Entscheidungsfreiheit, die damit abgesichert werden soll, aber weiterhin in dem unveränderten Kräfteungleichgewicht besteht, bleibt die Einwilligung immer (auch) eine Reaktion auf Abhängigkeiten. Der Verzicht auf Schutz ist dann zwar noch informierter, den eigentlichen Interessen der Betroffenen entspricht die damit legitimierte Datenverarbeitung aber ebenso wenig.

Wir müssen über Verbote sprechen

Recht hat Rainer Hartmann damit, dass wahrscheinlich die wenigsten Menschen Interesse daran haben, dass Mobilfunkkonzerne ihre Daten derart verarbeiten. Nur ist die Einwilligung eben keine taugliche Reaktion auf diese Erkenntnis. Zu stark bleiben die wirtschaftlichen Anreize, sich mittels legaler oder grenzwertiger Tricks weiter Einwilligungserklärungen zu verschaffen.

Dass die bei o2 aufgedeckten Verstöße geahndet werden, ist notwendig. Das Problem ist jedoch nicht, dass die formalen Hürden für eine wirksame Einwilligung oder die Anforderungen an Transparenz nicht streng genug wären oder zu wenig durchgesetzt würden. Das eigentliche Problem ist, dass die Einwilligung – solange sie als Regelungsinstrument ihre dominierende Rolle behält – es weiterhin zulässt, die digitalen Spuren unseres Alltags überhaupt einer Ökonomisierung auszuliefern. Zwischen uns und der Totalauswertung unseres digitalen Lebens stehen weiterhin nur ein paar kleine Einwilligungshäkchen.

Diese Erkenntnis sollte ein Weckruf sein, sich nach Alternativen zur Einwilligung umzusehen und sich Gedanken über klare gesetzliche Grenzen für Datenverarbeitungen zu Werbezwecken zu machen. Grenzen, über die auch die Einwilligung nicht mehr hinweghelfen kann. Grenzen, die die Anreize für den Missbrauch der Einwilligung entfallen lassen. Grenzen, die uns das Schauspiel ersparen, dass die Einwilligung in einer Position der Schwäche als Akt der Souveränität verkauft wird.

Es ist schlicht notwendig, dass wir im Datenschutz über Verbote sprechen. Überall dort, wo Daten Teil einer Gegenleistung für essentielle Dienste sind oder dort, wo Betroffene regelmäßig aus der Position der Unterlegenheit agieren, müssen wir dem Missbrauchspotential der Einwilligung dadurch begegnen, dass sie als Rechtsgrundlage ausscheidet. Und das unabhängig davon, wie transparent die Datenverarbeitung erklärt und wie umfassend Betroffene informiert werden.

Derartige Grenzziehungen kennt das Recht an vielen Stellen. Sei es im Mietrecht, im Arbeitsrecht oder im Verbraucherschutzrecht: Schönheitsreparaturklauseln, Unterschreitungen des Mindestlohns oder Verkürzungen der Gewährleistung sind verboten, egal wie eindeutig darauf im Vertrag hingewiesen wird. Eine Debatte über eine gleichermaßen klare Grenzziehung ist im Kontext der Erstellung von Nutzungsprofilen und ihrer Verarbeitung zu Werbezwecken überfällig.

17 Ergänzungen

  1. Vielen Dank für den Artikel, ich stimme allen Punkten persönlich zu.
    Jedoch kenne ich Menschen, die sich das Recht ungern nehmen lassen würden: Sie WOLLEN z.B. dass Google Maps alle Positionen kennt, denn „nur (!) deshalb seien die Routen-, Stau- und Reisezeitberechnungen so exakt und zuverlässig.“ Den ich sage Mal „Mehrwert“ dürften nicht wenige aufgeben wollen.

    1. Du nennst hier einen der wenigen Fälle in denen die Datenverarbeitung den Nutzer direkt zu Gute kommt, die ist Teil der Kernfunktion des Dienstes, und ich denke darauf zielt der Artikel nicht ab. Die gleiche Einwilligung (Standort usw) für die Nutzung von z.B. Youtube zu fordern sieht dann schon anders aus.

    2. Das kann ja auch gut gefunden werden, wenn die Daten 1) nur zweckgebunden verwertet und 2) bei Nichtbenötigung verworfen werden.

      1. Klasse Artikel und Ansatz. Dieser permanente Wunsch nach Einwilligung verliert auch dann seien Sinn, wenn der Nutzer davon überflutet wird, z.B. beim Besuch von Webseiten. Jedesmal das Bestätigen der Cookies ist doch inzwischen zur Plage geworden. Liest das jeder immer alles oder wird einfach geklickt? Wo ist hier der Sinn und die bewußte Einwilligung? Browser mit voreingestellten Antworten wären gut…

  2. „Es ist schlicht notwendig, dass wir im Datenschutz über Verbote sprechen.“

    Datenschutzrecht ist weitgehend Aktivistenrecht. Den meisten Menschen ist es ziemlich egal, wie Firmen mit ihren Daten umgehen – solange sie dafür entsprechenden Gegenwert bekommen, seien es nun günstige Tarife oder kostenlose Tools und Inhalte.

    Verbote sind eine typisch deutsche Reaktion. Aktivisten wollen den Menschen immer gern vorschreiben, wie sie besser leben können. Der Fall o2 ist doch ein wunderbares Beispiel: Die Menschen hatten jahrzehntelang Zeit, sich für kundenfreundliche Provider zu entscheiden. Doch de facto war ihnen immer nur der Preis wichtig. Je billiger, desto besser. Das muss man dann irgendwann auch einmal akzeptieren. Die Menschen sind offenbar bereit, für günstige Preise bestimmte andere Nachteile in Kauf zu nehmen.

    Wenn jemand hier unbedingt irgendwo ein Problem sehen möchte, dann bitte bei den Menschen. Firmen wie o2 bieten einfach das an, was nachgefragt wird.

    1. „Den meisten Menschen ist es ziemlich egal, wie Firmen mit ihren Daten umgehen“

      Aus meiner Sicht stimmt das nicht. Fragt man auf der Straße wildfremde Menschen nach persönlichen Daten oder bittet sie, sich diese auf die Stirn zu tätowieren, wird man eher mit Unverständnis und Ablehnung konfrontiert. Niemand will sich nackig machen!
      Ja, die Bereitschaft, Daten bei einem „Gegenwert“ zu „teilen“, steigt schnell an. Das Problem: Die meisten Menschen können
      a) nicht die Höhe des Gegenwerts einschätzen
      b) überschauen die Folgen ihrer Zustimmung (zur Weitergabe ihrer persönlichen Daten) nicht.
      Das ist keine Überheblichkeit meinerseits („Manche sind zu dämlich“), sondern Ergebnis alltäglicher Beobachtung und Erfahrung. Mich betrifft das ebenso, ich muss auch abwägen (siehe „Cookie-Abfrage“ auf Webseiten).

      „Aktivisten wollen den Menschen immer gern vorschreiben, wie sie besser leben können.“

      Nein, sie durchschauen nur ein wenig mehr (und früher) als die meisten Menschen die Folgen, die eine Datenweitergabe an Unternehmen haben können! Vor diesen Folgen warnen sie, wollen die Menschen (also die ganze Gesellschaft) davor bewahren. Ist das unlauter?

      „Die Menschen hatten jahrzehntelang Zeit, sich für kundenfreundliche Provider zu entscheiden.“

      Das ist ein guter Witz, welche denn? Wer kann vor einem Vertragsabschluss einschätzen, ob die vollmundigen Versprechen eines Unternehmens dort auch gelebt werden oder nur heiße Luft sind, um Kunden zu ködern? Warum sollte ich für eine schlechte Leistung mehr Geld ausgeben? Guten Service hat es auch bei teuren Providern nur selten gegeben, also ist der Preis nicht unbedingt das Maß der Dinge.

      „Die Menschen sind offenbar bereit, für günstige Preise bestimmte andere Nachteile in Kauf zu nehmen.“

      Natürlich sind sie das, jeder wird abwägen wollen! Das setzt aber voraus, dass diese Menschen überhaupt die Folgen solcher Entscheidungen einschätzen können und das sie – wie im Artikel geschrieben – nicht nach dem Motto „Friss oder stirb“ entscheiden müssen.

      „Wenn jemand hier unbedingt irgendwo ein Problem sehen möchte, dann bitte bei den Menschen. Firmen wie o2 bieten einfach das an, was nachgefragt wird.“

      Das ist, mit Verlaub, neoliberaler Bullshit! Mit dieser Masche wird das Problem immer auf den Verbraucher abgewälzt – wie war das mit dem „mündigen Verbraucher“? Den gibt es nicht, solange er nur mangelhaft informiert ist (dazu gehört vor allem, die Informationen auch zu verstehen) und oft in einer Abhängigkeit steht, ein „Angebot“ nutzen zu können oder nicht.

      Unternehmen wollen Profit machen, egal wie. Moral gibt es im Kapitalismus nicht, deshalb muss die Gesellschaft Grenzen setzen. Insbesondere persönliche Daten verschwinden nicht einfach, sobald sie erhoben worden sind, deshalb: Nur nicht erhobene Daten sind gute Daten!

    2. Dummer Kommentar, weil:

      Die Konsument*in bezahlt so oder so auch für den Gmail Account, aber eben über gesteigerte Preise für Produkte. Siehe hier: https://privacy-handbuch.de/handbuch_12a.htm

      Wie Malte Engeler schreibt, gibt es nicht viele Menschen, die privilegiert genug sind, um
      1) die Gefahren von ungezügelter Datensammelei zu erkennen
      2) sich zu informieren, wie, wo und in welchem Ausmaß das geschieht
      3) sich alternativ zu verhalten.

      Wie angesprochen, werden manche Entscheidungen auch zu Entscheidungen, ob eins an der Gesellschaft teilnehmen möchte oder nicht. Siehe hier: https://yewtu.be/watch?v=DoeNbZlxfUM

      Du hast anscheinend den Beitrag nicht verstanden oder weigerst Dich dazu.

      Niemand hat ein Problem bei o2 gesehen. Es geht um die Gesetze, die o2 diese Praktiken erlauben (und um die Lobbyisten von o2, ok).

      Diese Marktlogik ist eine verkrustete, veraltete Ideologie des 18. Jahrhunderts. Ziemlich aus der Zeit gefallen.

      1. @ Anonymous

        „Diese Marktlogik ist eine verkrustete, veraltete Ideologie des 18. Jahrhunderts. Ziemlich aus der Zeit gefallen.“

        Der Leitspruch der Aufklärung lautete: sapere aude! Habe Mut, dich deines eigenen Verstandes zu bedienen. Das ist genau das Denken, das wir auch heute brauchen.

        Wenn Du den Konsumenten unmündig findest, wirst Du auch den Wähler unmündig finden, denn beide sind ein und dieselbe Person. Wenn Du dem Konsumenten weiterhin Entscheidungen und Denkprozesse abnehmen möchtest, wird Du ihn in seiner Unmündigkeit halten. Und dann wählt er halt weiterhin Parteien, die mit uns machen, was sie wollen, indem sie immer mehr Überwachung aufbauen und die IT-Sicherheit Schritt für Schritt reduzieren.

        Die Folgerung kann nur sein, dass wir für den mündigen Konsumenten und Bürger kämpfen. Nur so kriegen wir eine sinnvolle Digitalisierung der Gesellschaft hin.

        Und wie ich immer sage: Die Gefahr sind nicht irgendwelche Werbetricks von irgendwelchen Firmen, sondern BND & Co. DAGEGEN müssen wir die Bürger mobilisieren. Und das geht aber eben nur mit digital mündigen Bürgern.

      1. @ Anonymous

        Was Menschen in Umfragen sagen und wie sie dann tatsächlich handeln, hat sehr wenig miteinander zu tun. 90 % der Leute geben z.B. in Umfragen an, dass sie liebend gern >1 Euro für Milch zahlen würden. An der Kasse sieht es dann ganz anders aus. Dieses Problem nennt man in der Umfrageforschung „soziale Erwünschtheit“.

        Ich arbeite im Datenschutzbereich und rede jede Woche mit Datenschutzbeauftragten und Nutzern. Das sind zwei *völlig* verschiedene Welten. Real hat Datenschutz für die allermeisten Menschen fast keine Bedeutung, solange sie nur etwas gratis oder günstiger bekommen. Und darum wäre der kalifornische CCPA auch die bessere Datenschutz-Regulierung für Europa. Die DSGVO ist ein Datenschutz der Eliten fürs Volk.

        1. „soziale Erwünschtheit“

          Das ist aber ein Begriff mit zivilisatorischer Relevanz in folgenden Bereichen:
          – „Reale Welt“
          – „Schöne neue Welt“
          – Machterhalts- und Ergreifungsszenarien.

          Haben die Menschen Informationen, welche Gefahren die strategische Datensammlung gesellschaftlich und persönlich bieten, wäre die Handlungsweise anders. Die Situation ist aber, dass die „tägliche Werbung“ ablenkend und vielfach in Richtung Antiinformation oder auch gerne Desinformation, Berichterstattung sporadisch, Kennzeichnung kaum vorhanden bis obfuskativ ausfallen.

          Befrage Häftlinge, ob sie gerne mal „spazieren gehen“ würden…

        2. > Die DSGVO ist ein Datenschutz der > Eliten fürs Volk.
          Da gehe ich evtl. mit Dir mit – wer schreibt schon eine Mail, in der eins der Verarbeitung zum Zwecke der Direktwerbung widerspricht? Außerdem ist der Weg, dass eins sich individuell über Blogs und Foren informiert und dann andere Betriebssysteme installiert, natürlich elitistisch, wenn eins das als „den gegebenen“ oder den „normalen“ Weg ansieht.
          Du hast bestimmt auch mal was von Preisdiskriminierung gehört – Datenschutz erschwert so etwas. Aber solange das nicht sichtbar ist, wissen die Menschen nichts davon.

          Was findest Du denn besser am CCPA?

          Ich denke auch, dass sich die DSGVO auch mehr an Services wie Whatsapp „anpassen“ bzw davor schützen sollte, da Knebelverträge mit Sozialzwang oder Ungleichgewicht verbunden werden.

          Wie in der Klimadiskussion ist es wahrscheinlich auch zwingend notwendig, Datenschutz mit Klassenpolitik zu verbinden. Nur so können sich breite Massen dieses Problems bewusst werden und sich die Freiheiten wie Geld, Zeit und Bildung erkämpfen, um das „Problem“ zu beseitigen. Letztendlich ist auch der fehlende Datenschutz der Arbeiterklasse ein Symptom der Machtausübung der Eliten – ein Kampf zwischen Besitzenden und Besitzten, wie Edward Snowden sagen würde.
          https://nitter.42l.fr/Snowden/status/1394061037968805889#m

  3. Automatische Ablehnung durch den Browser wäre nett. Fallstricke:
    1. Muss ununterscheidbar von manueller sein, d.h. der Browser bietet die Schnittstelle, und nicht ein mit Mausbewegungs- und Clicktracking versehenes Javascriptteil.
    2. Zu viele Optionen machen den Nutzer wieder einfacher verfolgbar :).

    1. > 2. Zu viele Optionen machen den Nutzer wieder einfacher verfolgbar :).

      Genau, das ist das Problem von Do Not Track (DNT). Es verändert den Fingerprint und ist leider nicht verbindlich :(

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.