Manfred Kloiber: Der Datenschutz ist spätestens seit zwei Jahren wieder ein Riesenthema, er wird es wohl auch 2012 bleiben. Nach den großen Skandalen der letzten Zeit, ist die Wachsamkeit gewachsen, das sollte man meinen, und auch, dass sich damit das Datenschutzniveau in Deutschland verbessert habe. Stimmt nicht, im Gegenteil sogar, sagt eine Studie namens "Datenschutzbarometer 2011". Die Verstöße haben auch im letzten Jahr frappant zugenommen. Mehr noch: Unternehmen, die beim Datenschutz im Internet schlampen, sparen viel, viel Geld und haben einen beachtlichen Wettbewerbsvorteil gegenüber datenschutzkonformen Firmen. 7,5 Milliarden Euro, das sagt die Studie "Datenschutzbarometer 2011". Eine ganz schöne Summe. Sven Töniges, Sie haben die Studie gelesen und mit den Autoren gesprochen. Was ist denn die Moral dieser Untersuchung? Raten die Autoren also jedem Unternehmen, das einen Internetauftritt hat, dringend dazu, den Datenschutz in die Tonne zu kloppen und so bares Geld zu sparen?
Sven Töniges: Nein Herr Kloiber, nicht ganz - ganz im Gegenteil sogar. Die kommen aus einer ganz anderen, nämlich aus einer sehr datenschutzaffinen Ecke. Erstellt hat diese Studie "Xamit", das ist eine Firma aus Düsseldorf. Die berät Firmen und Unternehmen in Sachen Datenschutz. Das heißt, die verdienen ihr Geld auch mit Datenschutz. Von daher auch an dieser Stelle schon eine kleine Quellenkritik: Diese Firma hat sicher auch ein Interesse, eher ein düstereres Bild der Datenschutzlandschaft zu zeichnen. Aber: Das heißt jetzt nicht, dass diese Studie nicht durchaus valide und auf einer soliden, breiten Datenbasis steht. Der Anspruch der Studie ist vielleicht etwas vollmundig. Sie wollten das gesamte Datenschutzniveau in Deutschland auf eine breite empirische Basis stellen. Sie haben sich tatsächlich aber eigentlich nur aufs Internet konzentriert und dabei auf datenschutzsensitive Felder – nämlich Webshops, Webstatistik-Dienste, Internetwerbung und Kontaktformulare und nicht zuletzt den Gefällt-mir-Button von Facebook.
Kloiber: Das auf einer soliden Datenbasis, sagen Sie. Wie kommen denn die Autoren zu ihren Ergebnissen? Was war die Methode der Erhebung?
Töniges: Sie haben 3,2 Millionen Webseiten untersucht, und insgesamt 37.000 Webauftritte auf Einhaltung von Datenschutzbestimmungen abgeklopft. Das macht man durch maschinelle Quellcodeanalysen. Das heißt, die Quellcodes werden von Programmen ausgelesen und dann auf bestimmte Merkmale abgeklopft.
Kloiber: Was genau der Erkenntnisgewinn bei so einer Quellcode-Analyse ist und was uns das dann über den Datenschutz erzählt, das erklärt Björn Petersdorf, Co-Autor der Studie zu Beginn des folgenden Beitrags:
"Es gibt einige prägnante Merkmale, die Sie haben, wenn Sie beispielsweise ein Statistikprogramm einbinden, wenn Sie ein Kontaktformular nutzen, wenn Sie einen Webshop haben, die kann man relativ einfach erfassen und dann entsprechend auswerten, um dort zu sehen: Wer hat ein Webstatistikprogramm im Einsatz? Nutzt er Google-Analytics? Das kann man auch relativ einfach prüfen. Hat er entsprechende Mitteilungspflichten erfüllt? Das machen wir maschinell und können damit eigentlich auch statistisch valide Aussagen treffen, die da sind, dass das Maß an Verstößen, was den Datenschutz betrifft, eigentlich konstant steigt seit 2008."
Es ist ein verheerendes Bild: Auf 82 Prozent aller untersuchten Webauftritte, so die Studie "Datenschutzbarometer 2011", wird gegen den Datenschutz verstoßen. Gerade einmal jede fünfte Webpräsenz wäre also tadellos in Sachen Datenschutz. Gegenüber dem Vorjahr zwar ein Zuwachs von zwölf Prozent. Aber im Vergleich zum Jahr 2008 stiegen auch die Datenschutz-Verstöße um 34 Prozent an. Und 50 Prozent wären es sogar, würde man den jüngsten Albtraum der Datenschützer einrechnen, den Gefällt mir-Knopf oder Like-Button von Facebook. Der beliebte nach oben gerichtete Daumen wird erst seit 2010 von Facebook angeboten. Inzwischen taucht der Button auf fast sieben Prozent aller Web-Präsenzen auf – beunruhigend für Datenschützer, denn was Facebook mit den Daten treibt, ist nicht ganz durchsichtig.
Der Like-Button und eine Reihe handfester Datenklauskandale hatten das Thema Datenschutz im vergangenen Jahr in den medialen Mainstream getragen. Die Autoren der Studie wollten nun wissen, ob diese Skandale Einzelfälle waren. Nein, sie waren bloß die Spitze des Eisbergs, glaubt Björn Petersdorf:
"All diese Beispiele, die wir flächendeckend untersucht haben, zeigen einfach, dass die Bedeutung, die das ganze Thema hat in der Breite noch nicht angekommen ist und es bei vielen eine Mischung aus Nicht-Wissen und Ignoranz ist. Es verhält sich auch ähnlich mit dem Facebook-Like-Button. Das ist für viele auch marketinggetrieben ein nettes Instrumentarium, um Empfehlungsmarketing zu nutzen. Aber allein die Tatsache, dass die meisten es einsetzen, ohne darüber eigentlich nachzudenken, was es für Konsequenzen hat, zeigt ja, dass es auch dringend an der Zeit wäre, dass es hier auch Aufklärung gibt bei vielen Unternehmen – dass sie klar wissen, was sie tun."
Aufklärung ist da das eine, straffere Sanktionierung das andere. Alle 40.000 Jahre muss ein Unternehmen in Deutschland mit einer Prüfung durch die Aufsichtsbehörden rechnen, so haben es die Düsseldorfer Datenschutzexperten um Björn Petersdorf errechnet. Hinzu komme, dass die hiesige föderale Struktur der Datenschutzbehörden unter die Räder komme angesichts von Internetgiganten wie Google oder Facebook:
"Wie geht man mit einem solchen Unternehmen um, dass eine gewisse Arroganz an den Tag legt und sagt, warum soll ich mich mit einem deutschen Datenschutzbeauftragten zusammensetzen, ich bin ein amerikanisches Unternehmen, in Europa sitze ich in Irland? Das zeigt letztendlich, dass wir hier sicherlich schon an Grenzen sind, dass die deutsche föderale Struktur solchen Dingen im Bereich des Internets eigentlich gar nicht mehr hinterher kommt."
Für die Autoren der Studie ist hier die Politik gefragt. Gesetze seien da, sie müssten nur exekutiert werden. Den Ruf nach effektiverer Aufsicht und Sanktionen hört man in der deutschen Internet-Wirtschaft dagegen weniger gern. Beim Branchenverband Eco will man sich die Düsseldorfer Studie nicht unbedingt zu eigen machen. Datenschutz sei nicht gleich Datenschutz, sagt Ivo Ivanov, Justiziar von Eco. Es gäbe Bereiche, da sei ein weniger orthodoxer Umgang mit Datenschutz einfach realitätsnaher:
"Immer vor dem Hintergrund, dass Deutschland nach wie vor als Standort für moderne Informationstechnologien attraktiv bleibt. Weil eine übers Ziel hinaus schießende Auslegung und Bewertung von Fragen datenschutzrechtlicher Art, könnte dazu führen, dass Deutschland insgesamt als Wirtschaftsstandort einen enormen Nachteil erleidet."
Sven Töniges: Nein Herr Kloiber, nicht ganz - ganz im Gegenteil sogar. Die kommen aus einer ganz anderen, nämlich aus einer sehr datenschutzaffinen Ecke. Erstellt hat diese Studie "Xamit", das ist eine Firma aus Düsseldorf. Die berät Firmen und Unternehmen in Sachen Datenschutz. Das heißt, die verdienen ihr Geld auch mit Datenschutz. Von daher auch an dieser Stelle schon eine kleine Quellenkritik: Diese Firma hat sicher auch ein Interesse, eher ein düstereres Bild der Datenschutzlandschaft zu zeichnen. Aber: Das heißt jetzt nicht, dass diese Studie nicht durchaus valide und auf einer soliden, breiten Datenbasis steht. Der Anspruch der Studie ist vielleicht etwas vollmundig. Sie wollten das gesamte Datenschutzniveau in Deutschland auf eine breite empirische Basis stellen. Sie haben sich tatsächlich aber eigentlich nur aufs Internet konzentriert und dabei auf datenschutzsensitive Felder – nämlich Webshops, Webstatistik-Dienste, Internetwerbung und Kontaktformulare und nicht zuletzt den Gefällt-mir-Button von Facebook.
Kloiber: Das auf einer soliden Datenbasis, sagen Sie. Wie kommen denn die Autoren zu ihren Ergebnissen? Was war die Methode der Erhebung?
Töniges: Sie haben 3,2 Millionen Webseiten untersucht, und insgesamt 37.000 Webauftritte auf Einhaltung von Datenschutzbestimmungen abgeklopft. Das macht man durch maschinelle Quellcodeanalysen. Das heißt, die Quellcodes werden von Programmen ausgelesen und dann auf bestimmte Merkmale abgeklopft.
Kloiber: Was genau der Erkenntnisgewinn bei so einer Quellcode-Analyse ist und was uns das dann über den Datenschutz erzählt, das erklärt Björn Petersdorf, Co-Autor der Studie zu Beginn des folgenden Beitrags:
"Es gibt einige prägnante Merkmale, die Sie haben, wenn Sie beispielsweise ein Statistikprogramm einbinden, wenn Sie ein Kontaktformular nutzen, wenn Sie einen Webshop haben, die kann man relativ einfach erfassen und dann entsprechend auswerten, um dort zu sehen: Wer hat ein Webstatistikprogramm im Einsatz? Nutzt er Google-Analytics? Das kann man auch relativ einfach prüfen. Hat er entsprechende Mitteilungspflichten erfüllt? Das machen wir maschinell und können damit eigentlich auch statistisch valide Aussagen treffen, die da sind, dass das Maß an Verstößen, was den Datenschutz betrifft, eigentlich konstant steigt seit 2008."
Es ist ein verheerendes Bild: Auf 82 Prozent aller untersuchten Webauftritte, so die Studie "Datenschutzbarometer 2011", wird gegen den Datenschutz verstoßen. Gerade einmal jede fünfte Webpräsenz wäre also tadellos in Sachen Datenschutz. Gegenüber dem Vorjahr zwar ein Zuwachs von zwölf Prozent. Aber im Vergleich zum Jahr 2008 stiegen auch die Datenschutz-Verstöße um 34 Prozent an. Und 50 Prozent wären es sogar, würde man den jüngsten Albtraum der Datenschützer einrechnen, den Gefällt mir-Knopf oder Like-Button von Facebook. Der beliebte nach oben gerichtete Daumen wird erst seit 2010 von Facebook angeboten. Inzwischen taucht der Button auf fast sieben Prozent aller Web-Präsenzen auf – beunruhigend für Datenschützer, denn was Facebook mit den Daten treibt, ist nicht ganz durchsichtig.
Der Like-Button und eine Reihe handfester Datenklauskandale hatten das Thema Datenschutz im vergangenen Jahr in den medialen Mainstream getragen. Die Autoren der Studie wollten nun wissen, ob diese Skandale Einzelfälle waren. Nein, sie waren bloß die Spitze des Eisbergs, glaubt Björn Petersdorf:
"All diese Beispiele, die wir flächendeckend untersucht haben, zeigen einfach, dass die Bedeutung, die das ganze Thema hat in der Breite noch nicht angekommen ist und es bei vielen eine Mischung aus Nicht-Wissen und Ignoranz ist. Es verhält sich auch ähnlich mit dem Facebook-Like-Button. Das ist für viele auch marketinggetrieben ein nettes Instrumentarium, um Empfehlungsmarketing zu nutzen. Aber allein die Tatsache, dass die meisten es einsetzen, ohne darüber eigentlich nachzudenken, was es für Konsequenzen hat, zeigt ja, dass es auch dringend an der Zeit wäre, dass es hier auch Aufklärung gibt bei vielen Unternehmen – dass sie klar wissen, was sie tun."
Aufklärung ist da das eine, straffere Sanktionierung das andere. Alle 40.000 Jahre muss ein Unternehmen in Deutschland mit einer Prüfung durch die Aufsichtsbehörden rechnen, so haben es die Düsseldorfer Datenschutzexperten um Björn Petersdorf errechnet. Hinzu komme, dass die hiesige föderale Struktur der Datenschutzbehörden unter die Räder komme angesichts von Internetgiganten wie Google oder Facebook:
"Wie geht man mit einem solchen Unternehmen um, dass eine gewisse Arroganz an den Tag legt und sagt, warum soll ich mich mit einem deutschen Datenschutzbeauftragten zusammensetzen, ich bin ein amerikanisches Unternehmen, in Europa sitze ich in Irland? Das zeigt letztendlich, dass wir hier sicherlich schon an Grenzen sind, dass die deutsche föderale Struktur solchen Dingen im Bereich des Internets eigentlich gar nicht mehr hinterher kommt."
Für die Autoren der Studie ist hier die Politik gefragt. Gesetze seien da, sie müssten nur exekutiert werden. Den Ruf nach effektiverer Aufsicht und Sanktionen hört man in der deutschen Internet-Wirtschaft dagegen weniger gern. Beim Branchenverband Eco will man sich die Düsseldorfer Studie nicht unbedingt zu eigen machen. Datenschutz sei nicht gleich Datenschutz, sagt Ivo Ivanov, Justiziar von Eco. Es gäbe Bereiche, da sei ein weniger orthodoxer Umgang mit Datenschutz einfach realitätsnaher:
"Immer vor dem Hintergrund, dass Deutschland nach wie vor als Standort für moderne Informationstechnologien attraktiv bleibt. Weil eine übers Ziel hinaus schießende Auslegung und Bewertung von Fragen datenschutzrechtlicher Art, könnte dazu führen, dass Deutschland insgesamt als Wirtschaftsstandort einen enormen Nachteil erleidet."