Von wegen Koexistenz

Verbraucherschutz Datenerhebung und das Recht auf Privatsphäre können sich nicht in der Mitte treffen. Der Kunde ist längst nicht mehr nur gläsern

Und wenn sie nicht gestorben sind, dann befinden sie sich noch heute in friedlicher Koexistenz: der Datenschutz und die Industrie, die mit den Daten von NutzerInnen gerne ihr Geld verdienen will. Denn: Die Privatsphäre schützen und gleichzeitig Unternehmen erlauben, mit Nutzung und Verkauf persönlicher Daten Geld zu verdienen – das ist doch kein Widerspruch. So klingt zumindest der politische Tenor in Sachen EU-Datenschutzgrundverordnung, die im Frühjahr beschlossen werden soll. Hört sich wunderbar an. Ist aber leider ein Märchen.

Die datenverarbeitende Industrie und das Recht auf Datenschutz haben einen Zielkonflikt, bei dem es nicht die Lösung ist, sich mal eben irgendwo in der Mitte zu treffen. Denn das Recht auf Privatsphäre ist entweder stark. Dann ist das Verwerten persönlicher Daten von VerbraucherInnen unattraktiv, weil ohne explizite, freiwillige und eindeutige Einwilligung nichts läuft.

Diese Einwilligung mögen Unternehmen nicht so, weil sie NutzerInnen häufig überhaupt erst darauf bringt, was eigentlich mit ihren persönlichen Informationen so gemacht wird. Und dann doch dankend ablehnen. Oder – zweite Möglichkeit – das Recht auf Privatsphäre ist schwach. Dann können die Unternehmen weitgehend machen, wonach ihnen der Sinn steht. Gut für die Bilanz. Schlecht für die NutzerInnen.

Daten personalisieren

Diesen Grundkonflikt zu übersehen, bedarf schon einiges an Kreativität. Die legte der luxemburgische Justizminister Félix Braz bei der Vorstellung des Verordnungsentwurfs tatsächlich an den Tag. Er argumentierte: Verbraucher gäben ihre Daten nur heraus, wenn sie Vertrauen in das entsprechende Unternehmen hätten. Hohe Datenschutzstandards würden Vertrauen schaffen. Damit verwendeten mehr NutzerInnen die entsprechenden Dienste – was für die Industrie wiederum gute Gewinne bedeutet.

Abgesehen davon, dass NutzerInnen aus tausend unterschiedlichen Gründen ihre Daten an ein Unternehmen geben – von „keine Alternative“ über „ich hab eh nichts zu verbergen“ bis „da sind doch alle meine Freunde“ – allein, dass Braz bei alldem den Begriff „Datenindustrie“ verwendete, sagt alles: Es geht hier nicht um einzelne Unternehmen, die Daten für eigene Zwecke erheben und nutzen, quasi als Mittel zum Zweck, um etwa ein Paket korrekt zu adressieren.

Nein, es geht um eine systematische Nutzung, Verarbeitung und Weitergabe von persönlichen bis persönlichsten Informationen zum Zwecke der Gewinnmaximierung. Die Daten sind nicht eine Nebensache, sondern ein eigenes Produkt. Und wirklich Geld machen lässt sich damit erst dann, wenn die Daten so personalisiert sind, wie es nur irgend geht.

Gießkanne und Heckenschere

Ein Beispiel: Online-Shopping. Keine Verkaufs-Webseite kommt da heute noch aus ohne „Kunden, die eine 10-Liter-Gießkanne kauften, interessierten sich auch für eine Heckenschere“ – in mehr oder weniger schlauen Ausprägungen des Algorithmus.

Will ein Betreiber datenschutzfreundlich agieren, könnte er rein statistisch auswerten: 62 Prozent aller KundInnen, die die 10-Liter-Gießkanne kaufen, bestellen auch die Heckenschere. Bekommen künftig also sämtliche KäuferInnen von 10-Liter-Gießkannen das Angebot an Heckenscheren präsentiert, werden zwar tatsächlich einige InteressentInnen darunter sein. Aber: Eben auch genug, die nicht auch nur im Entferntesten in Erwägung ziehen, eine Heckenschere zu kaufen. Dumm gelaufen für den Händler, hätte er mal lieber auf das Gießkannenaufsatzset hingewiesen.

Interessant wird es für Anbieter, die ihren Umsatz erhöhen wollen, also erst, wenn sie von der abstrakten statistischen Ebene etwas tie­fer gehen. Was erzählt denn zum Beispiel die Kaufhistorie des Kunden? 10-Liter-Gießkanne ja, aber vor Kurzem erst eine Balkonbefestigung für Blu­menkästen gekauft? Dann sinkt dieindividuelle Heckenscheren-Kaufwahrscheinlichkeit doch gleich erheblich.

Es kommt also für Unternehmen gerade auf die Personalisierung an. Und weil als Faustregel gilt, je mehr Daten, desto verlässlicher die Rückschlüsse auf eine Person, kommt die Profilbildung ins Spiel. Also: Daten aus unterschiedlichen Quellen zusammenführen. Kaufen. Das ist der Punkt, an dem persönliche Daten zum eigenen Produkt werden, losgelöst von dem Vorgang, für den sie eigentlich erhoben wurden.

Ein starkes Recht auf Privatsphäre verhindert also zweierlei: zum einen das direkte Verdienen an Daten mit dem Verkauf selbiger. Dazu gehört auch ein striktes Verbot der Zweckentfremdung, was die Datenschutzgrundverordnung leider so nicht vorsieht. Zum anderen verhindert ein starkes Recht auf Privatsphäre das indirekte Verdienen an Daten, indem sie dazu genutzt werden, VerbraucherInnen etwa passgenauere Werbung zukommen zu lassen. Spezialisierte Firmen können dabei aus den Daten etwa schließen, ob ein Kunde kurz davor steht, sein Konto zu löschen, und welche Rabatthöhe auf welches Produkt nötig wäre, um ihn doch zu einem Kauf zu bewegen.

Missbrauch verhindern

Der Kunde ist dabei nicht mehr nur gläsern. Er wird mit Terahertzstrahlung durchleuchtet und steht dabei auf einem Podest mitten im Scheinwerferlicht. Ob in den Datenbanken da noch so triviale Informationen stehen wie der Name, ist fast schon egal: Aus der Fülle von vorhandenen anderen Daten – von IP-Adresse und Cookies über Standorte, Login-Zeitpunkte und Gerätezugriffe oder den Fingerabdruck des Browsers – lässt sich bei Bedarf jederzeit rekonstruieren, um wen es geht. Anonymisierung? Angesichts dieser Datenfülle eine Legende. Schließlich sind alleine zwei Hand voll Ortszeitpunkte individuell genug, um die zugehörige Person zu identifizieren. Und das ist ganz im Sinne der Datenindustrie.

Die tut übrigens überhaupt nichts dafür, auch nur ein kleines bisschen vertrauensvoll zu wirken. Denn das ginge zwar mittels Transparenz, wäre aber teuer. Regelmäßige Auskünfte über gespeicherte Information, verständliche Informationen statt kryptischer Geschäftsbedingungen zum Beispiel. Das würde in der Konsequenz die Menge der im Umlauf befindlichen – und auch der missbräuchlich verwendeten – Daten deutlich verringern. Wahrscheinlicher ist leider das Gegenteil. Von wegen friedliche Koexistenz. Svenja Bergt