Die neue Datenschutzverordnung der EU will den Konsumenten mehr Rechte über ihre eigenen Daten geben. Auch die Schweiz passt derzeit ihren Datenschutz ans Internet-Zeitalter an. Und begibt sich damit auf den Holzweg, warnt Florent Thouvenin, als er BLICK in seinem Büro an der Uni Zürich empfängt. Der Jus-Professor fordert ein radikales Umdenken beim Datenschutz.
BLICK: Herr Thouvenin, Sie finden, unsere Daten werden zu sehr geschützt. Die meisten Leute würden da vehement widersprechen.
Florent Thouvenin: Es geht nicht um zu viel Datenschutz. Sondern um den falschen.
Wie – falsch?
Datenschutz basiert auf dem Gedanken, dass es gefährlich ist, wenn der Staat oder Unternehmen unsere Daten benutzen. Deshalb wird der Bearbeitungsprozess reguliert – vom Moment, an dem jemand die Daten erfasst bis zum Moment, an dem sie wieder gelöscht werden. Das ist der falsche Ansatz.
Warum? Meine Daten gehören doch mir ...
Nein! Ihre Daten gehören rechtlich betrachtet nicht Ihnen.
Aber das sollte so sein!
Im Gegenteil, das wäre gefährlich.
Wie bitte?
Wenn Sie Eigentümer Ihrer Daten wären, könnten Sie diese auch verkaufen. Und der Käufer könnte die Daten dann frei verwenden – auch gegen Sie. Sie sehen: Dass die Daten nicht Ihnen gehören, gibt Ihnen einen gewissen Schutz.
Und das Datenschutzgesetz nicht?
Die Konzepte des heutigen Datenschutzes stammen aus den Siebzigerjahren des letzten Jahrhunderts. Doch die Welt hat sich seitdem stark verändert. Ebenso, was wir unter Privatsphäre verstehen. Privatsphäre ist sicher wichtig gegenüber Menschen, die wir kennen: dem Chef, dem Nachbarn, dem Partner. Aber wenn mein Google-Sucherverlauf auf irgendeinem Server liegt, ist das mir – und vielen anderen – eigentlich egal. Jedenfalls solange niemand, der mich kennt, darauf zugreifen kann.
Dass Datenkraken wie Google, Facebook, Amazon und andere so viel über mich wissen, ist aber unangenehm ...
Nur bedingt. Denn die beissen ja nicht. Es geht eben nicht darum, was auf irgendeinem Server liegt, sondern, was die Konsequenzen für mich sind: Werde ich wegen meiner Daten diskriminiert? Kann ich zum Beispiel eine Versicherung nicht abschliessen? Oder werde ich an der Einreise in ein Land gehindert? Das wäre ein Problem. Statt den Prozess der Datenbearbeitung zu regulieren, sollte der Datenschutz hier ansetzen: bei ganz konkreten Problemen.
Aber ich weiss nicht, was Unternehmen mit meinen Daten machen. Warum sollen die meine Daten überhaupt speichern?
Weil Sie eingewilligt haben. Und weil es Ihnen nützt. Dass zum Beispiel die Suchresultate so gut sind, kommt auch daher, dass Google all diese Daten hat. Daran haben wir ein Interesse, oder? Richtig ist allerdings, dass wir zu wenig genau wissen, was mit unseren Daten gemacht wird. Das Datenschutzgesetz verlangt zwar Transparenz – geschaffen wird diese aber nicht.
Das hat der letzte Facebook-Skandal wieder gezeigt.
Ja, alle diese Skandale haben viel damit zu tun, dass den Leuten erst im Nachhinein gesagt wird, was mit ihren Daten gemacht wird. Allerdings: Heute stehen wir unter dem Eindruck dieses Skandals. In zwei, drei Monaten wird das aber kaum noch jemanden interessieren. Das zeigt, dass es für die meisten von uns gar nicht so wichtig ist, was genau mit unseren Daten geschieht.
Wie bitte?
Das ist der Irrtum am heutigen Datenschutz. Er geht davon aus, dass es wichtig ist, dass wir kontrollieren können, was mit unseren Daten passiert. Dabei haben wir im Zwischenmenschlichen diese Kontrolle auch nicht. Was ich mit den Daten mache, die mein Gehirn gerade über Sie sammelt, haben Sie nicht im Griff. Dennoch käme niemand auf die Idee, das zu regulieren. Wenn aber Maschinen das Gleiche machen, ich also zum Beispiel unser Gespräch aufnehme, muss ich mich an die Vorgaben des Datenschutzrechts halten.
Einspruch: Ich habe Kontrolle darüber, was ich Ihnen sage.
Schon, aber Sie können nicht kontrollieren, was ich mit dieser Information anfange. Das Recht greift normalerweise erst ein, wenn Ihnen ein konkreter Nachteil entsteht, wenn ich beispielsweise einen Kommentar über unser Gespräch veröffentliche, der Sie in Ihrer Persönlichkeit verletzt. Anders aber das Datenschutzrecht. Es geht nicht vom konkreten Problem aus, sondern reguliert den Prozess der Datenbearbeitung im Glauben, damit das Risiko für einen Nachteil oder Schaden zu minimieren. Ohne überhaupt zu wissen, was genau dieser Nachteil oder Schaden sein könnte.
Welche konkreten Probleme gibt es denn?
Ich verfolge seit einiger Zeit die Frage der individualisierten Preise. Wir kennen das alle von den Flugpreisen, die sich laufend verändern. Möglicherweise, weil die Webseite der Fluggesellschaft realisiert, dass ich schon zum dritten Mal einen Flug von Zürich nach Madrid an diesem Freitagabend suche. Und dann macht der Algorithmus den Flug ein bisschen teurer.
Nicht fair.
Genau. Die meisten Menschen empfinden das als Diskriminierung – darum will auch kein Unternehmen bestätigen, dass es das macht. Dabei kann man es auch umdrehen: Während ich 200 Franken für den Flug zahlen kann, kann sich das ein anderer nicht leisten. Er könnte vielleicht nur 120 Franken zahlen. Ist diese Ungleichbehandlung ungerecht oder im Gegenteil fair? Ich gebe zu: Im grossen Stil ist das Zukunftsmusik. Aber es könnte sein, dass Supermärkte schon bald den Preis eines Produkts individuell für jeden Kunden festlegen – technisch ist das kein Problem.
Eine Nische für Leute, die wenig Geld haben und dann für die Reichen einkaufen!
Die Systeme würden merken, dass die 82-jährige Rentnerin oder der 20-jährige Student nicht für sich selbst einkauft – weil ganz andere Sachen im Körbli liegen. Ob es gerecht ist, von Menschen mit unterschiedlichem Einkommen unterschiedliche Preise zu verlangen, ist eine zentrale Frage. Diese blendet das Datenschutzgesetz völlig aus, weil es nicht nach den Ergebnissen der Datenbearbeitung fragt, sondern nur nach dem Prozess. Mit diesem Ansatz wird ganz viel Potenzial der Digitalisierung vernichtet.
Zum Beispiel?
In der Medizin. Das, was Ihnen der Arzt heute verschreibt, hilft beim Durchschnitt der Patienten. Aber Sie sind nicht der Durchschnitt! Doch welche Dosis von welchem Medikament hilft Ihnen? Wie viel Rotwein ist für Sie persönlich schädlich oder nützlich? Hier gibt es ein riesiges Potenzial – aufgrund unserer Daten. Aber wir nutzen es noch viel zu wenig. Das Datenschutzrecht vernichtet hier viele Chancen, um Risiken vorzubeugen, die es gar nicht kennt.
Missbrauchspotenzial besteht aber auch.
Natürlich. Und davor sollte das Gesetz auch schützen: Es braucht Transparenz darüber, wer was mit meinen Daten macht. Und Sicherheit: Es muss garantiert werden, dass die Daten nicht in falsche Hände geraten. Diese beiden Aspekte sind im Datenschutzgesetz an sich auch geregelt – bis heute aber nur ungenügend umgesetzt.
Florent Thouvenin ist ein Datenschutz-Spezialist. Der 42-jährige Zürcher ist seit 2016 Professor für Informations- und Kommunikationsrecht an der Uni Zürich. Dort forscht er vor allem über den Schutz der Privatsphäre in der digitalen Gesellschaft. Vorherige Stationen waren unter anderem das Max-Planck-Institut, die Harvard Law School in den USA und die Universität St. Gallen.