Wenige Wochen ist sie nun alt, die in Kraft getretene Datenschutzgrundverordnung. Während Selbstständige, KMUs und Mittelständler dem Jammern nach ihren halben Jahresumsatz in deren Umsetzung stecken mussten, stellt sich eine Frage für die Mehrzahl der Menschen ganz besonders: Was haben der Konsument, die Facebook-Nutzerin und der arglose Internet-Surfer nun gewonnen?
Wenig. Oder nichts. Je nach Sichtweise. Denn die DSGVO hat für den Endverbraucher ein massives Problem. Sie ist ein wirkungsloser Paternalismus. Sie maßt sich an, im Sinne des Verbrauchers zu sein, ist es aber nicht.
Ganz konkret hat die DSGVO im Internet für Konsumenten erstmal nichts geändert außer sie verpflichtend mit Hinweisen zu belästigen. Dieser Pflicht kommen die Webseiten und Blogs mit seitenbreiten Bannern nach, oder noch schlimmer mit Popups, mannigfaltigen Checkboxen und Datenschutzerklärungen, die einem so ins Auge springen wie es die Öffnungszeiten des Cafés (die ich verdammt noch mal wissen will) nicht tun. Auf einem kleinen Bildschirm sieht man mehr DSGVO-Lassmichinruhe-Buttons als Inhalt. Die DSGVO ist belehrend, mit einem ausgeprägten Hang zum Unzumutbaren.
„Aufklärung ist der Ausgang des Menschen aus seiner selbst verschuldeten Unmündigkeit.“ Das haben sich die Verfasser der DSGVO wahrlich stark zu Herzen genommen und sind über das Ziel hinausgeschossen. Das Gesetz maßt sich an, den Benutzer zu leiten und zu paternalisieren. Es maßregelt den Umgang mit privaten und schützenswerten Daten nicht – was die ureigene Aufgabe eines Gesetzes wäre. Sascha Lobo nannte diesen Ductus in einer sehr empfehlenswerten Episode seines Podcasts süffisant „onkelig“. Doch leider ist das Problem ernster.
Technik-Experten und -Expertinnen neigen oft dazu, mit dem Wissen um ein Problem das Problem als gelöst zu betrachten — um dann nicht gegen das eigentliche Problem anzugehen, sondern es zu umgehen. Das Resultat ist eine schwer aufzulösende Paranoia, ein maximal unbequemes Vermeiden von Dingen. Im schlimmsten Fall die Papier-Landkarte statt dem Blick in Google Maps. Oder das Beharren auf einen sicheren freien Messenger statt WhatsApp, mit einer schrecklichen und nahezu unzumutbaren Useability (ja, ich meine Signal).
Und genau diese Vermeidungs-Logik ist das Herz der DSGVO, zumindest in Richtung Endverbraucher. Aufklären, nicht regulieren. Das Resultat davon wird dem Benutzer genauso wie der kleinen Webseitenbetreiberin vor den Latz geknallt. Da darf er sich selbst drum kümmern. Das einzige was bleibt, ist auf die Nutzung eines Services, einer Webseite oder einer Nachrichtenseite zu verzichten, wenn die Datenschutzbedingungen fishy (oder falsch) sind.
Besser für die DSGVO wäre gewesen, sich nicht dieser Tradition des aufgeklärten Verpetzens anzuschließen. Besser wäre es gewesen, technische und vor allem prozesstechnische Vorgaben zu machen, die genau jene Bereiche gesetzlich regulieren, die momentan erhebliche Datenschutzprobleme verursachen. Und die kleinen Blogs, Café-Webseiten und Nachrichtenportale könnten komplett verschont werden — zu Ungunsten der wirklichen Problem-Giganten Google, Facebook und der diffusen Retarget-Werbenetzwerken.
Konkret würde das bedeuten, dass Google personenbezogenen Daten bei Nutzung außerhalb von google.com nicht mehr erheben und verarbeiten dürfte. Zumindest nicht ohne meine explizite Einwilligung — und zwar direkt auf google.com und nicht auf der kleinen Webseite mit der Google Map Karte. Dasselbe könnte gelten für Facebook- und Twitter-Likebuttons auf fremden Webseiten. Oder für die unsäglichen Werbenetzwerke und Tracking-Links.
Halten sich die großen Anbieter nicht daran, drohen die oft erwähnten hohen Strafen. Technisch wäre das wunderbar umsetzbar und mit ein bisschen Aufwand auch kontrollierbar. Ein Webserver erkennt zuverlässig, ob eine Anfrage von der eigenen Webseite oder von einer fremden kommt (das nennt sich Cross-Domain-Zugriff und ist sogar spezifiziert).
Die DSGVO hätte auch wunderbar das Shadow-Profiling verbieten können. Oder erzwingen können, dass man sich beim Anbieter von besonders gut passender Werbung erst direkt registrieren muss, um personenbezogen getrackt werden zu dürfen.
„Hätte“, „könnte“, „dürfte“. Alles Konjunktiv, denn die DSGVO gibt das so nicht her.
Und bis sich daran etwas ändert, liebe Cafébetreiber: Bitte schreibt direkt in den DSGVO-Banner eure Öffnungszeiten. Damit der wenigstens zu was gut ist.
Die DSGVO macht offensichtlich worum es bei heutigen Webseiten geht: Datensammeln und Bannerzeigen. Sie sollen Nutzer für Werbeanzeigen produzieren. Die Öffnungszeiten werden versteckt, der arglose Internet-Surfer wird selbst zum Produkt und möglichst lange den Bannern ausgesetzt, die zudem sein Verhalten durchleuchten. Wäre die Funktion nur Informationswiedergabe, hätte sich das Semantic Web schon längst durchgesetzt: mit Öffnungszeiten in einer schema.org-Angabe und Neuigkeiten im RSS-Feed. Für die DSGVO spricht, dass sie sich gegen die Praktiken der Branche für Online-Werbung richtet und somit einen Wechsel mitverursachen könnte: hin zu neuen Geschäftsmodellen auf Basis frei verfügbarer, maschinenlesbarer Daten.