Datenschutz : Neues Branding für den Datenschutz

In keinem Thema steckt mehr vom „www“-Prinzip („Wunsch widerspricht Wirklichkeit“) wie im Datenschutz. Nutzer möchten Datenschutz, aber ihr tatsächliches Handeln liegt teils fern ab von dem, was man sich unter einem verantwortungsvollen, selbstbestimmten Handeln vorstellt. Lediglich 19 Prozent lesen regelmäßig Datenschutzbestimmungen im Internet. Und die Nutzung von datenintensiven Diensten wie Google, Alexa, WhatsApp, Gesundheitsapps & Co. nehmen trotz mangelhaften Datenschutzes zu. Dem eigentlichen Ziel des Datenschutzes – das aufgeklärte selbstbestimmte Handeln auf der Grundlage von Transparenz und Verständnis – wird die Praxis nicht gerecht.

In der Wirtschaft ist die Erfahrung mit Datenschutz geprägt von Vorbehalten. Er wird im Unternehmenskontext als notwendig, vielleicht als lästig, vor allem aber als sanktionierend wahrgenommen. Die erste Prämisse von Unternehmen ist die Frage, wie sie sich vor möglichen Sanktionen schützen – und nicht, wie sie Kunden oder Mitarbeiter zu mehr Datenbewusstsein befähigen können und einen selbstbestimmten Umgang mit ihren Daten praktisch ermöglichen.

Zwischen Weltuntergang und Verschwörung

Die Debatten rund um den Datenschutz bewegen sich dann zwischen Weltuntergangsszenarien und Verschwörungstheorien – kurz: Sie sind negativ konnotiert aber selten reflektierend und befähigend. Einer der zentralen Aspekte der nächsten Jahre sollte es daher sein, dem Datenschutz ein neues Verständnis zu geben. Er braucht ein neues Branding, bei dem Wirkung und Assoziation mit dem tatsächlichen Handeln übereinstimmen, ohne dass das Ziel der informellen Selbstbestimmung weichen muss.

Was, wenn Datenschutz nicht allein die Aufgabe hätte, sanktionierend für die informelle Selbstbestimmung zu kämpfen? Sondern Sinn und Zweck des Datenschutzes wäre, Menschen in die Lage zu versetzen, souverän mit eigenen Daten umzugehen. Was bedeutet das für Unternehmen und Staat, wenn sie nicht nur die Gesetze einhalten sollen, sondern die Nutzer proaktiv in diesem Sinne abholen müssen? Was, wenn Datenschutzbehörden und -beauftragte ein neues Rollenverständnis entwickeln und mehr als Berater wahrgenommen werden statt als „ökonomische Blockierer“? Was, wenn es die Aufgabe des Staates wäre, die Bürger nicht nur rechtlich zu schützen, sondern sie hinsichtlich ihrer Selbstbestimmungschancen individuell abzuholen und zu befähigen? Dafür sind andere Definitionen und Assoziationen mit dem Begriff des Datenschutzes nötig.

Aus Datenschutz wird Datensouveränität

Naheliegend ist da der Begriff „Datensouveränität“. In der Digitalisierungsdebatte wird kaum ein anderer Begriff so oft verwendet und unterschiedlich interpretiert: Ob als „Lobbybegriff der Datenindustrie“, als Datenschutz-Synonym oder als Oberbegriff für „Meine Daten gehören mir“ – je nach Kontext entweder positiv oder negativ aufgeladen. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar (Grüne) plädiert dafür, „die dargebotene Worthülse“ aufzugreifen und „positiv zu besetzen“.

Souveränität bedeutet, jederzeit die Hoheit und Verantwortung über den eigenen Lebensentwurf zu haben. Von dieser normativen Grundlage ausgehend ist die „Datensouveränität“ nichts anderes als Selbstbestimmung über das Daten-Abbild seines Selbst und die Freiheit, in seinem Lebensentwurf nicht durch eigene Datenspuren aus der Vergangenheit „prädeterminiert“ zu sein. Hierauf zielt letztlich das Konzept der „informationellen Selbstbestimmung“. Denn es geht um mehr als nur die Schonung der Privatsphäre als ein Rückzugsraum des Individuums. Es geht um die Möglichkeit einer aktiven, selbstbestimmten Gestaltung der Lebenswelt unter der Nutzung digitaler Technologien.

Für die Befähigung im Umgang mit den eigenen Daten braucht es dann weitere Elemente: Einerseits einen technologischen Datenschutz, also Usability-Ansätze, die Nutzer technisch in die Lage versetzen, intuitiv über die Verwendung ihrer Daten zu entscheiden. Damit „informierte Einwilligung“ kein Wunschdenken bleibt. Zweitens ist die Selbstverpflichtung von Unternehmen beziehungsweise der Ansatz der Corporate Digital Responsibility (CDR) entscheidend, denn Unternehmen kommt eine besondere Verantwortung zu. Sie müssen weg von dem Verständnis des Datenschutzes als eine Art der ökonomischen Risikominimierung und sollten Datenschutz als Teil ihrer gesellschaftlichen Verantwortung verstehen. Dafür benötigt es Vertrauensanker, die einen fairen Umgang mit personenbezogenen Daten garantieren, auf die sich die Nutzerseite verlassen kann.

Ein solcher Vertrauensanker muss im Übrigen auch der Staat sein. Er sollte nicht nur sicherstellen, dass die Datenschutzregeln befolgt werden, sondern auch technologische Instrumente für ein selbstbestimmtes Handeln im Netz bereitstellen und dafür sorgen, dass digitale Kompetenzen vermittelt werden. Beispielsweise müssen Bildungseinrichtungen wie Schulen und Hochschulen Datenschutz als wichtigen Bestandteil ihrer Pädagogik verstehen. Es geht nicht um die Vermittlung von datenschutzrechtlichen Fakten, sondern um das Verstehen von Logiken der Digitalisierung. Ziel sollte es sein, dass junge Nutzer ein intuitives Gefühl dafür bekommen, was mit ihren Daten passiert und was sie wert sind. Damit der befähigte Umgang mit Daten keine Utopie bleibt, braucht es jetzt ein Umdenken von Datenschutz zu Datensouveränität.

Eine Langfassung dieses Textes, der in der Arbeitsgruppe Innovativer Staat der Initiative D21 erarbeitet wurde, wird heute an dieser Stelle veröffentlicht. Nikolai Horn ist Philosoph und arbeitet für das Beratungsunternehmen Capgemini. Björn Stecher ist Geschäftsführer der Beratung „Digital Denken“. Mitgewirkt an dem Text hat außerdem Marc Reinhardt, Public-Sector-Chef von Capgemini in Deutschland. Am 29. Mai wird der Denkimpuls anlässlich des Zukunftskongresses Staat & Verwaltung in Berlin vorgestellt.