Du willst meine Seele speichern
um dich daran zu bereichern
Nichts an mir ist dir egal
du schlägst aus allem Kapital

Aber die Behauptung, das neue Google Dashboard habe nichts mit Datenschutz zu tun, halte ich für unbedacht, vielleicht sogar populistisch.

Ja, das Dashboard bündelt nur, was vorher bereits im Einzelnen zu sehen war:

Neue Informationen darüber, was über einen gespeichert wird, liefert Dashboard nicht. Alle Einstellungsmöglichkeiten gibt es längst bei den einzelnen Anwendungen wie Blogger, Google Alerts, Kalender, Mail oder Reader. Man kann sie nun lediglich auf einen Blick erkennen.

(Kai Biermann auf ZEIT online)

Ist das nun schon “Datenschutz” oder nicht? Ja, denn die Auskunft über gespeicherte Daten ist eine wesentliche Voraussetzung, damit ich mein Selbstbestimmungsrecht wahrnehmen kann. Ja, denn Google realisiert, wozu viele andere Datenverarbeiter nicht willens oder in der Lage sind.

Womit beginnt ein neuer Datenschutzbeauftragter seine Tätigkeit in einem Unternehmen oder einer Behörde? Vereinfacht gesagt: Er verschafft sich einen Überblick über die vorhandenen Datenverarbeitungen und verfolgt dabei wie ein digitaler Rutengänger die Datenströme im Haus und außerhalb. Als guter Datenschutzbeauftragter setzt er dabei gleich seine Prüferbrille auf: Rechtmäßigkeit? Erforderlichkeit? Zugriffsrechte? Die Liste ist lang.

Ein Ergebnis seiner Bemühungen ist das  Verfahrensverzeichnis nach § 4g Absatz 2  BDSG. Die Übersicht bündelt einige grundlegende Angaben über den Datenbestand des Unternehmens. Ein  Ziel des Gesetzgebers war es, betroffenen Mitarbeitern oder Kunden einen schnellen Überblick über potentielle Datenbestände zur eigenen Person zu verschaffen, sozusagen eine Vorstufe des konkreten Auskunftsanspruches. Deshalb soll dieses Verzeichnis “auf Antrag jedermann in geeigneter Weise verfügbar” gemacht werden.

Über Sinn und Unsinn von Verfahrensverzeichnissen kann man streiten. Praktisch ist das Modell aus meiner Sicht gescheitert, die meisten Verzeichnisse sind nur Makulatur.

Der Umweg zur Datenauskunft über zentrale Datenregister, Meldepflichten und öffentliche Verfahrensverzeichnisse stammt noch aus einer Zeit vor der allgemeinen Verbreitung des Internets. Heute kann und sollte ich meine Rechte als Betroffener direkt wahrnehmen; zwei Aspekte dabei:

Unternehmen müssen in der Lage sein, mir auf einfache Weise einen Überblick über meine gespeicherten Daten (incl. Herkunft und Weitergabe)  zu geben. Schnell, kostenlos. Der Zugriff darf nur authorisiert erfolgen.

Insbesondere will ich selbst bestimmen, über welche Kanäle ich beworben werde, ob meine Daten weitergegeben werden und an wen. Notwendig dazu ist ein Einwilligungsmanagement durch den Anbieter, damit ich nachvollziehen kann: Wann habe ich wie zugestimmt? Wie kann ich widerrufen?  Beispiel Quelle-Insolvenz: Es sollte mich zukünftig keinen Musterbrief, sondern nur drei Klicks kosten, um mich aus der Kundendatenbank zu verabschieden.

Vermutlich sind die im Google Dashboard dargestellten Daten nur die Spitze des Eisberges. Deshalb müssen neben die Auskunftsansprüche der Betroffenen auch regelmäßige Kontrollen der Aufsichtsbehörden treten, meinetwegen auch Zulassungsverfahren oder Zertifizierungen.

Dennoch sollte seine Übersichtlichkeit als Vorbild für andere Großdatenverarbeiter dienen.  Beispiel SAP: Versuchen Sie mal, Ihre Betroffenenrechte gegenüber einem SAP-ERP-System durchzusetzen, egal ob als Unternehmensmitarbeiter oder Kunde. Die Seiten 60-65 im “Leitfaden Datenschutz SAP ERP 6.0 ” der DSAG beschreiben nüchtern, was alles NICHT möglich ist; z.B:

“Es gibt im SAP-Standard keinen Report, der sozusagen auf Knopfdruck alle zu einer Person gespeicherten Daten für die Auskunftserteilung oder zur Benachrichtigung eines Betroffenen anzeigt oder ausdruckt.”

“Es gibt keine Standardfunktion, die den Zugriff auf historische Daten mit personenbezogenen Angaben, die nur noch aus Gründen der Aufbewahrungspflichten gespeichert werden, beschränkt – auch wenn alle buchhalterischen Abschlusstätigkeiten erledigt sind.”

“Explizite Funktionen zur Sperrung von Daten einzelner Personen sind im SAP ERP-System z. Z t. nicht vorhanden.”

In vielen komplexen Unternehmen und Anwendungen sieht es nicht besser aus. Personendatenbestände lagern verstreut in den verschiedensten Datenbanken. Das erschwert Auskünfte , Werbewidersprüche, Löschungen, aber auch durchgehende Zugriffsberechtigungskonzepte (und erleichtert gleichzeitg unkontrollierten Datenabfluss).

Meine Daten im Überblick: Was im kleinen Online-Shop noch funktionieren kann (aber nicht muss), wird in Sozialen Netzwerken schon schwierig, bei ERP- oder Krankenhausinformationssystemen zur Sisyphosarbeit und beim Cloud Computing fast unmöglich.
Google Dashboard schlägt sich in diesem Vergleich wacker, sollte aber nicht die letzte Werbebotschaft in puncto Transparenz und Datenschutz bleiben.

Heute bin ich einem höflichen Gegenüber der anderen Art begegnet: Ich hatte – inzwischen fast vergessen – irgendeine nette kleine und kostenlose Schutzsoftware heruntergeladen und dabei auf der Webseite des Anbieters eine Mailadresse zur Übersendung des Downloadlinks hinterlassen. Heute bekam ich nun eine freundliche Mail mit der Frage, wie denn  mein erster Eindruck von der Software sei?

*stutz* Was sollte ich davon halten? War das ein freundlich hingeworfener Keks, gebacken aus ehrlichem Interesse, oder doch ein raffiniert verpackter Köder? Der Absender war “Account Manager”. Donnerwetter, ich hatte also einen Account. Kein Anmeldelink, nur der Hinweis auf die abgerufene Software.

Gelegentlich lässt mich mein Gedächtnis im Stich, und so fragte ich zurück, ob ich denn in irgendeiner Weise in die Zusendung von E-Mails eingewilligt hatte. Die Antwort folgte prompt: Man wollte nur “aus Höflichkeit” nachfragen, ob ich denn z.B. Probleme bei der Installation gehabt habe.  Nun habe man meine Daten gelöscht und gehe davon aus, dass ich mich bei Fragen selbst melden würde.

In der blitzschnellen Reaktionsmail war der Schreck “meines” Account Managers deutlich zu spüren, vielleicht Angst vor einer Abmahnung oder anderem Ungemach – deshalb wurde zur Sicherheit lieber alles schnell gelöscht.

Eine Mail-Nachfrage “aus Höflichkeit”. War ich vielleicht unhöflich, weil ich auf meinem Recht bestand? Hätte ich bis zur zweiten Mail warten sollen, die wahrscheinlich in ein paar Wochen gefolgt wäre, inklusive einem unvermeintlichen Angebot für eine Kaufversion mit deutlich erweitertem Funktionsumfang?

Manchmal nehme ich mir die Zeit und zeige meinem Gegenüber, wie der Prozess datenschutzgerecht und kundenfreundlich ablaufen könnte. In konkreten Fall hätte ein Opt-In-Kästchen gereicht.

Aber die verbeitete Unbeholfenheit im Umgang mit ganz normalen Anfragen und Auskunftsersuchen verwundert mich schon. Die Xamit-Studie zum Datenschutz bei Parteien bringt ein paar erschreckende Beispiele dafür.

“Wir bemühen uns um die Wahrung Ihrer Privatsphäre”, heißt es auf der Webseite meines Softwareanbieters.

Bemüht Euch bitte ein bißchen mehr.