Weiterhin kein Datenschutz bei der Telekom

V0.2-2015-0817

In einer Meldung bei Heise-News vom 14.08.2015 heisst es, dass die Telekom für “strengen europäischen Datenschutz” wirbt. (Heise-News vom 14.08.2015)

Mein erster Gedanke zu dieser Headline war: Wer Sätze wie “Einhaltung des strengen Datenschutzes” formuliert, macht in der Praxis nach meinen Erfahrungen immer und in Perfektion das Gegenteil.

Ein Hinweis auf “strengen Datenschutz” ist eine Beschwörungsformel, die erfahrungsgemaß rechtliche und operative Unkenntnis kompensiert. Und wieso meint die Telekom sich in die Position des “Werbens für Datenschutz” setzen zu können? Die Telekom kann niemals eine Lösung für das Problem sein, sondern sie ist notwendig immer ein Teil eines Datenschutzproblems. Allein die Verwendung dieses Verbs zeigt an, dass es sich um einen Propagandatext handeln muss. Aber warum jetzt dieser Artikel? Es stieg in mir die Erinnerung auf, dass da doch letztens noch ein Link Telekom-BND-NSA bestand. Ich fand dann in den Kommentaren zum Artikel bequemerweise den Hinweis auf eine weitere Heise-Meldung vom 19.05.2015, wonach die Telekom den Transitverkehr an den BND weiterleite. Okay, die Telekom hat also Bedarf an Imagekorrekturen, ganz aufs Vergessen mag man dort nicht setzen. Doch zum hochrelevanten Thema “Umgang mit Anfragen von Nachrichtendiensten” findet man im Artikel kein Wort.

Mein zweiter Gedanke lautete: Was versteht man bei der Telekom unter Datenschutz? Welche Datenschutz-Komponenten werden im Artikel wohl abgesprochen werden? Ob sie dort allein zwischen IT-Sicherheit und Datenschutz unterscheiden können? Sind die sechs Schutzziele des Datenschutzes vielleicht inzwischen angekommen? Ist hoch unwahrscheinlich aber nicht unmöglich.

Irritierenderweise scheint sogar die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bei der Telekom für den Datenschutz einstehen zu wollen. Warum riskiert die BfDI das, die ansonsten politisch doch eher vorsichtig agiert? Die BfDI ist für die Aufsicht der Telekom zuständig. Was macht sie offenbar Glauben, dass es dort zum Besten bestellt ist? Sind es Varianten der Klassiker “too big to fail” oder “Stockholm-Syndrom”? Man sollte die Bildunterschrift genau lesen: “Die Telekom hat einheitliche Datenschutzrichtlinien für alle Tochtergesellschaften. Der Datenschutzbeauftrage Ulmer und Vorstand Kremer bekommen das von der Bundesdatenschutzbeauftragten Andrea Voßhoff bestätigt.” Es wird also allein die Einheitlichkeit der Richtlinien des Konzerns bestätigt. Muss man die folgende Banalität tatsächlich formulieren? Einheitlichkeit bedeutet unter dem Aspekt der Entfaltung von Schutzwirkungen für Betroffene genau gar nichts.

Um so gespannter war ich, was im Artikel ausgeführt wird.

Tatsächlich problematisiert der Artikel zu einem Textanteil von etwa 40% die Einheitlichkeit der Datenschutzanforderungen in Europa. >>”Das [die Uneinheitlichkeit, MR] schadet den Unternehmen, weil sie dann mit ungleichen Wettbewerbsbedingungen zu kämpfen haben”, betonte der Datenschutzbeauftragte der Telekom, Claus Dieter Ulmer.”<< Aus einer Datenschutzsicht der Grundrechte eines Bürgers, Kunden, Patienten gegenüber staatlichen Verwaltungen und privaten Unternehmen besagt Einheitlichkeit des Datenschutzrechts, wie schon gesagt, nichts.

Die weiteren, dann doch noch auf Inhalte des Datenschutzes zielenden Ausführungen des Artikels zeigen in nahezu jedem Detail auf, wie datenschutzfeindlich die Telekom tatsächlich agiert und weiterhin zu agieren beabsichtigt. Ich frage mich, wer diesen Text geschrieben hat? Ein kritischer Journalist war das jedenfalls nicht, da es sich aus meiner Sicht um einen durchgestylten Propagandatext eines marktdominanten Telekommunikationsunternehmens handelt, das vorgibt, gegen die eigenen kommerziellen Interessen handeln zu wollen. Ich vermute, der Artikel basiert auf einer Pressemitteilung seitens der Telekom.

Herr Ulmer führt aus: >>Es dürfe für den Verbraucher keinen Unterschied zwischen Anbietern aus der EU und Übersee geben. Sie müssten sich auf den Schutz der Daten verlassen können „egal, wo der Anbieter sitzt und welchen Dienst sie nutzen wollen“.<< Der Schutz der Daten ist nicht das Problem des Datenschutzes bzw. des Verbrauchers, es geht nicht dessen um IT-Sicherheit. Der Verbraucher muss sich darauf verlassen können, dass Anbieter seine Grundrechte achten und operativ umsetzen, egal wo der Anbieter sitzt. Der Schutz personenbezogener Daten gegenüber den Anbietern selber ist das eigentlich zu lösende Datenschutzproblem. Nur grob überfliegend gelesen könnte es allerdings selbst professionellen Datenschützern passieren, dieser Passage zuzustimmen. Ja ja, sichere Daten sind wichtig.

>>Ulmer kritisiert insbesondere, dass die Regierungen im EU-Rat eigene Regelungen für personenbezogene Daten im öffentlichen Bereich zulassen wollen.<< Was soll diese Bemerkung Ulmers? Die Unterscheidung von öffentlichem und privatem Recht ist für Datenschutz hoch relevant. Datenschutz allein im Fahrwasser des Privatrechts würde die Einwilligung als Regelungsinstrument bevorzugen. Das ist genau das, woran amerikanische Sozietäten in Brüssel arbeiten, indem sie die Risikokalküle für personenbezogene Verfahren individualisieren. Von Einwilligungen gehen keinerlei Schutzwirkung für Betroffene aus. Sie erzeugen primär eine relative Rechtssicherheit für Organisationen, solange jedenfalls niemand vor einem Verfassungsgericht klagt. Ein Verfassungsgericht würde dann allerdings feststellen, dass bspw. die Anforderungen, die das Bundesdatenschutzgesetz an Einwilligungen stellt - Freiwilligkeit, Bestimmtheit, Informiertheit, vollständige Auflistung der Empfänger -, nicht erfüllt werden, und realistisch gar nicht erfüllt werden können. Ein öffentlich-rechtlicher Datenschutz stellte jede Datenverarbeitung dagegen ausschließlich unter einen Gesetzesvorbehalt. Ist es das, was Ulmer fordert? Doch ganz sicher nicht.

Ulmer verweist auf die Anforderung der Datensparsamkeit und wiederholt die platte, inzwischen mindestens 20 Jahre alte "Idee" des "Privacy By Design" (PbD). Datensparsamkeit und PbD sind weiche Regulatoren, ähnlich wie auch der Vorbehalt, der durch die "Erforderlichkeitsanforderung" an eine Datenverarbeitung besteht. Diese Aspekte entfalten, aus Sicht eines Datenschützers kann man das inzwischen wissen, keine tatsächlich relevanten Schutzwirkungen für Betroffene, es werden bestenfalls ein paar unzweckmäßige Nebenwirkungen eingedämmt. Der BND bekommt bzw. nimmt sich die Daten, die er für erforderlich hält, wie auch die Telekom, wie Versicherungen und Banken und überhaupt alle anderen Großunternehmen insbesondere der USA. Wenn es im nationalen Rahmen mal zwackt, werden entsprechende Gesetze auf den Weg gebracht. Dabei wäre natürlich der gute Ansatz des "Privacy-By-Design" durch das "Standard-Datenschutzmodell" (SDM) oder durch ein "Dataprotection-Impact-Assessment" (DPIA), das sich in seinem materiellrechtlichen Anteil am SDM orientierte, im Sinne des Betroffenenschutzes durchaus operationalisierbar. Aber davon ist hier keine Rede. Es kann einem mit dem Blick aufs SDM insofern durchaus klar sein, was und wie es zu tun wäre, wenn man Datenschutz (konzern)politisch für Kommunikationsinfrastrukturen tatsächlich wollte. Immerhin wurden die sechs Datenschutzziele, die den Regelungskern des SDM ausmachen, bereits 2010 von der Konferenz der Datenschutzbeauftragten verabschiedet. Ein deutsches Großunternehmen, das ernsthaft an Datenschutz interessiert ist, könnte das ebenso wissen wie ein kritischer Journalist, der einen Artikel zu Datenschutz in einem wichtigen Großunternehmen schreibt, anstatt nur abstrakte Formeln zu wiederholen.

Immerhin: Das Safe-Harbor-Abkommen, mit dem die Europäische Kommission es europäischen Unternehmen seit 2000 ermöglicht, personenbezogene Daten legal in die USA zu übermitteln, wird als obsolet bezeichnet. Doch mutig ist diese These natürlich nicht. Es geht auch gar nicht um Mut. Ein Unternehmen wie die Telekom mit logischerweise eigenen globalen Ambitionen kann nicht mehr bereit sein, allzu billig alle interessanten Datenverarbeitungen allein den Amerikanern zu überlassen, während man zuhause, anders als die Amerikaner, punktuell dann doch Gefahr läuft, mit den windigen eigenen BigData-Aktivitäten aufzufliegen.

Zuletzt heisst es: >>So sollte die Verarbeitung von pseudonymen Daten nur dann möglich sein, wenn sie transparent ist und der Nutzer dem nicht widerspricht. Bei vollständig anonymen Daten hält Kremer keine Einschränkungen für erforderlich, weil keine Rückschlüsse auf ein einzelnes Individuum möglich sind.<< Nein, es sind keinerlei Daten, auch keine pseudonymisierten, nicht einmal anonymisierte, Daten ohne vorherige Zustimmung von Bürgern, Kunden oder Patienten oder gesetzliche Erlaubnis zu verarbeiten. So besagt es der Regelungskern - das Verbot mit Erlaubnisvorbehalt - sowohl des deutschen Datenschutzrechts als auch des Entwurfs der EU-Grundverordnung. Die Betroffenen müssen zumindest vorher befragt werden (Opt-In), und dürfen nicht nur gnädigerweise hinterher widersprechen (Opt-Out). Und wieder geht es darum, dass sich keinerlei ernsthafte widerständige Schutzwirkung für Betroffene, nicht einmal den in der Praxis ebenso wirkungslosen Pseudoschutz des Opt-In, entfalten kann. Anonymisierte Daten bieten keinen ernsthaften Schutz: Organisationen können ihren strukturellen Machtvorteil gegenüber Personen auch dann nutzen, wenn Nutzerdaten aufgrund anonymisierter Daten nur grob typisiert verarbeitet werden. Mal ganz abgesehen davon, dass Anonymität im Internet herzustellen nicht mehr möglich ist. Einen positivistischen Juristen kann dieser Umstand der Schutzlosigkeit trotz Anonymität kalt lassen, einen Datenschützer nicht. Und eine Organisation, die vorgibt, für Datenschutz, strengen sogar, zu werben, auch nicht.

Fazit: Es zeigt sich bei einer genauen Analyse des Textes, dass die Telekom in Bezug auf Datenschutz nach wie vor beabsichtigt, nicht ernsthaft datenschutzrechtliche Anforderungen umzusetzen, sondern weiterhin Datenschutz nur zu simulieren.

Was besonders bestürzend ist und mich bedrückt: Ich vermute, dass nicht einmal den Telekom-Vertretern selber in allen argumentativen Verästelungen klar ist, wie fern ab von jedem wirkungsvollen Datenschutz sie tatsächlich agieren. Dass sie in Wahrheit kein Interesse an Datenschutz haben, propagandistisch aber versuchen, sich im Gegenteil als an Datenschutz interessierte Instanz ins Spiel zu bringen, ist ebenso logisch wie durchsichtige Propaganda, und die Machart ist peinlich. Aber auch die Online-Heise-Redaktion ist Teil des Problems, wenn Heise wie in diesem Falle hilft, schiere Propagandatexte, die das Gegenteil von dem enthalten, was sie vorgeben zu enthalten, verbreitet. Heise beansprucht als journalistische Instanz ein erhöhtes Maß an Vertrauen, verfestigt aber durch unendliche Wiederholungen der immer gleichen Buzzwords problematische Narrative. In diesem Artikel findet keine Verdichtung, keine Kommentierung, keine Kontrastierung, keine Kontextierung statt. Natürlich gibt es auch andere, gute Heise-News, die das Vertrauen in die Redaktion wieder stärken. Nur: Man kann sich auf die Redaktion eben nicht verlassen. Die distanzlose Beteiligung der BfDI an diesem Artikel zeigt auf, wie insgesamt verworrenen die gesamte Datenschutzsituation und deren Beurteilung geworden ist. Man muss lernen, sich seines eigenen Datenschutzverstandes zu bedienen. Vertrauen kann man niemandem, eigenbestimmte Kontrollen sind unmöglich.