Wir werfen einen detaillierten Blick darauf, was personenbezogene Daten sind und wie sie in der EU erhoben werden.
Anfang 2023 haben die drei führenden Institutionen der Europäischen Union TikTok von Personalgeräten verboten.
Regierungen von den Vereinigten Staaten bis zum Vereinigten Königreich – und von Ländern in ganz Europa – folgten schnell diesem Beispiel. Der Grund? Wachsende Bedenken hinsichtlich der Datenerfassung.
Allein in Europa gibt es schätzungsweise 150 Millionen TikTok-Nutzer. Als Gegenleistung für die Nutzung der Plattform geben diese Nutzer zahlreiche personenbezogene Daten an. Westliche Regierungen sind zunehmend besorgt über die Möglichkeit, dass die chinesische Regierung auf diese Daten zugreifen könnte.
Obwohl Peking die Anschuldigungen zurückwies, bleiben die Gesetzgeber skeptisch.
Aber es ist nicht nur TikTok, das Daten sammelt – und die Probleme mit der Datenerfassung traten schon lange vor dem Aufstieg der beliebten Social-Media-Plattform auf. Überall im Internet können riesige Mengen personenbezogener Daten von Verbrauchern aus unserem Suchverlauf, unseren Browsereinstellungen und den von uns eingegebenen Informationen gesammelt werden.
Hier werfen wir einen Blick darauf, was das für Sie als digitaler Verbraucher bedeutet und was die Europäische Union unternimmt, um Ihre Daten zu schützen.
Was sind „personenbezogene Daten“ und wie werden sie erhoben?
Zu den personenbezogenen Daten gehören unter anderem Angaben wie der Name, das Alter oder die E-Mail-Adresse einer Person und können zur Identifizierung einer Person genutzt werden.
Diese Daten können „pseudonym“ gemacht werden – das heißt, alle expliziten personenbezogenen Daten werden entfernt, um die Identifizierung einer Person zu erschweren – oder „anonym“ – wobei alle persönlichen Identifikatoren entfernt werden, sodass eine Person nicht mehr identifiziert werden kann.
Es gibt viele Möglichkeiten, wie Daten online erfasst werden können, sei es über IP-Adressen, Navigationsdaten, Cookies oder Informationen, die wir beim Ausfüllen von Formularen bereitstellen.
Wir geben auch viele Daten über soziale Medien weiter, indem wir Beiträge „liken“ oder auf sie reagieren. Durch solche Aktionen können sensible Daten preisgegeben werden, ohne dass wir es überhaupt merken.
Diese Art von Daten, zu denen beispielsweise Ihre sexuelle Orientierung, Gesundheitsdaten, politische oder religiöse Zugehörigkeiten oder Daten, die Ihre Rasse oder ethnische Zugehörigkeit offenbaren, gehören können, gelten als vertraulich, da ihre Offenlegung zu Belästigung, Diskriminierung oder sogar Identitätsdiebstahl führen kann.
Es sind diese sensiblen Daten, die häufig im Mittelpunkt der Bedenken hinsichtlich der Datenerfassung und der Gefahr potenzieller Datenlecks stehen.
Gefahren bei der Datenerfassung
Das Sammeln von Daten ist nichts Neues. Allerdings ist die Art und Weise, wie Daten online erfasst werden, unterschiedlich. Heutzutage werden beispiellose Mengen an Daten gesammelt und gespeichert.
Im digitalen Zeitalter machen unsere Daten einen immer wichtigeren Teil der digitalen Wirtschaft aus; Allein in der EU machen Daten fast 3,6 Prozent des BIP der Union aus und sollen einem EU-Bericht zufolge bis 2030 einen Wert von knapp 1 Billion Euro erreichen.
Obwohl die Idee der Datenerfassung etwas besorgniserregend erscheinen kann, ist sie nicht alles schlecht. Die zunehmende Erhebung personenbezogener Daten kann enorme Vorteile für Verbraucher haben, da die Daten für alles vom Bankwesen bis zum Gesundheitswesen verwendet werden. Je mehr Daten beispielsweise über frühere Krankheiten und Behandlungen von Patienten gesammelt werden, desto besser können Ärzte ihren aktuellen Gesundheitszustand verstehen und Lösungen finden.
Auch wenn die Geschwindigkeit, mit der die digitale Wirtschaft in den letzten Jahren gewachsen ist, in vielerlei Hinsicht von Vorteil ist, hat sie die Überwachung für den Gesetzgeber erschwert.
„Daten sind Macht. Es sind lediglich die Instrumente, die (einem) Zugang zu vielen anderen Rechten verschaffen – den Zugang, bestimmte Personen gezielt anzusprechen, Inhalte bereitzustellen, einige Inhalte zu zensieren, Inhalte einigen Menschen nicht zu zeigen, deren politisches Verhalten zu beeinflussen“, sagt Romain Robert, Programmdirektor bei der europäischen Non-Profit-Organisation für digitale Rechte NOYB.
Eines der berüchtigtsten Beispiele für die Macht von Daten war der Facebook-Cambridge Analytica-Skandal im Jahr 2018, als bekannt wurde, dass der amerikanische Social-Media-Riese das Sammeln personenbezogener Daten von bis zu 87 Millionen Menschen durch das britische Politikberatungsunternehmen ermöglicht hatte.
Diese Daten, die ohne Zustimmung der Nutzer erhoben wurden, wurden von der Firma verwendet, um im Auftrag des ehemaligen US-Präsidenten Donald Trump während seines erfolgreichen US-Präsidentschaftswahlkampfs im Jahr 2016 Wählerprofile zu erstellen und gezielt anzusprechen.
Der Skandal war ein Weckruf für politische Entscheidungsträger, die sich der potenziellen Gefahren bewusst waren, die eine unregulierte Datenerfassung für Demokratie und Menschenrechte mit sich bringt.
Regulierung der Datenerfassung in der Europäischen Union
Die EU hat im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) eingeführt, das erste große Datenschutz- und Sicherheitsgesetz der Union für das moderne digitale Zeitalter. Die DSGVO gilt als das strengste Datenschutzgesetz der Welt und ist in den 27 verschiedenen europäischen Staaten rechtsverbindlich. Sie gilt auch für alle Organisationen, die Daten von EU-Bürgern sammeln, auch wenn sie nicht in der Union ansässig sind.
Der Schutz von Daten wird in der DSGVO als Grundrecht hervorgehoben. Personenbezogene Daten müssen daher auf „faire und rechtmäßige“ Weise geschützt und verwendet werden, was bedeutet, dass sie für einen bestimmten Zweck und mit Zustimmung der betroffenen Person erhoben werden sollten. Eine Person hat außerdem das Recht, auf ihre Daten zuzugreifen und alles zu ändern, was falsch erfasst wurde.
Organisationen müssen sich außerdem an sieben Grundsätze halten, sonst riskieren sie die Zahlung hoher Geldstrafen. Seit Inkrafttreten der Regeln vor fünf Jahren wurden unter anderem Google, Amazon und Meta wegen Verstößen mit Geldstrafen in Millionenhöhe belegt. Der bislang größte Betrag belief sich auf Amazon im Jahr 2021 in Höhe von 746 Millionen Euro wegen Nichteinhaltung der DSGVO.
Mehr Schutz
Obwohl es sich um das strengste Datengesetz der Welt handelt, entschied die EU, dass die DSGVO noch weiter gehen muss. Die politischen Entscheidungsträger haben nun das Digital Services Act-Paket eingebracht, das zwei separate Gesetze vereint: den Digital Services Act (DSA) und den Digital Market Act (DMA).
Das DSA wird Nutzer schützen, indem es ihnen mehr Kontrolle darüber gibt, was sie online sehen, beispielsweise gezielte Werbung, und dazu beitragen, die Verbreitung illegaler oder schädlicher Inhalte einzudämmen. Der DMA konzentriert sich mehr auf die Ankurbelung der digitalen Wirtschaft, indem er kleineren digitalen Unternehmen hilft, mit größeren zu konkurrieren.
Durch die Ergänzung des Pakets hofft die EU, die mittlerweile fünf Jahre alte DSGVO zu stärken.
Probleme bei der Durchsetzung
Die Durchsetzung solch strenger Gesetze ist jedoch schwierig. In den EU-Staaten gibt es für jedes Land 27 nationale Datenschutzbehörden (DPAs). Die Datenschutzbehörden arbeiten im Europäischen Datenschutzausschuss (EDPB) zusammen und werden vom Europäischen Datenschutzbeauftragten in Brüssel verwaltet.
„Es ist äußerst kompliziert, die DSGVO in einem länderübergreifenden Fall durchzusetzen, an dem mehr als zwei oder drei Länder beteiligt sind. Selbst die Kommission erkennt an, dass die Durchsetzung ein Problem darstellt“, sagt Robert. Um diese Mängel zu beheben, führt die EU-Kommission im Sommer 2023 neue Regeln ein.
Insgesamt hat die DSGVO jedoch zu einer enormen Verbesserung der Sicherheit personenbezogener Daten in der gesamten EU geführt. Da die Unternehmen nun größtenteils die neuen Regeln befolgen, können die Bürger sicher sein, dass ihre digitalen Rechte besser geschützt sind als irgendwo sonst auf der Welt.