Der Mobilfunkanbieter o2 nimmt es Recherchen von netzpolitik.org zufolge offenbar in Kauf, dass Shop-Betreiber:innen bei Vertragsabschlüssen datenschutzrechtliche Einwilligungen einholen, von denen die Einwilligenden gar nichts wissen. Tatsächlich setze o2 sogar Anreize, die sie zu diesem Verhalten verleiten, so lautet der Vorwurf mehrerer Händler:innen.
Die entsprechenden Erklärungen würden vom Personal kommentarlos vorausgefüllt und dann von den Kund:innen mit einer alles umfassenden Unterschrift abgesegnet. Natürlich ohne, dass diese wissen, was sie damit alles unterschreiben. Denn zumindest auf dem Papier willigen sie darin ein, dass o2 mit ihren Verkehrs- und Bestandsdaten Nutzungsprofile erstellen und sie dann auf diversen Kommunikationskanälen zu Werbezwecken kontaktieren darf, um ihnen zum Beispiel Verträge mit mehr Datenvolumen zu verkaufen.
Eine derartige Praxis wäre aller Voraussicht nach rechtswidrig. Das Verstecken von Einwilligungen in längeren Vertragstexten sowie vorausgefüllte Kästchen genügen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) an wirksame Einwilligungserklärungen nicht. Auch das Gesetz gegen den unlauteren Wettbewerb spielt bei Werbeeinwilligungen eine Rolle, aber das ist hier nur am Rande relevant. Das Ergebnis wäre jedenfalls, dass die Nutzung der Daten der Kund:innen rechtswidrig wäre und o2 sich aufsichtsrechtlichen Untersagungen, Bußgeldern und Schadensersatzansprüche aussetzen würde.
Aber was folgt aus den Enthüllungen? Sofern sich die Recherchen weiter erhärten, wird o2 sicherlich Besserung geloben und versichern, in Zukunft darauf hinzuwirken, das Kund:innen jede einzelne Einwilligung erklärt wird. Damit sie von nun an auch wirklich wissen, was sie mit ihrer Unterschrift alles erklären. Vielleicht wird es auch für vergangene Verstöße Ärger geben, sei es für die Shop-Betreiber:innen, sei es für o2 selbst. Vielleicht wird es sogar Pressemitteilungen der Datenschutzaufsichtsbehörden oder der Verbraucherschutzverbände geben, in denen dann davon die Rede sein wird, dass man die digitale Souveränität der Kund:innen von Mobilfunkunternehmen gestärkt und der Transparenz zum Sieg verholfen habe.
Das zugrundeliegende Problem bliebe damit aber ungelöst. Denn die aufgedeckte Praxis bei o2 ist mehr als das unlautere Gebaren einer Branche, in der für Abschlüsse und Upsells an der Grenze der Legalität gearbeitet oder sie schlicht übertreten wird. Sie ist vielmehr Symptom eines strukturellen Problems im geltenden Datenschutzrecht. Und dieses Problem heißt „Einwilligung“.
Ein Urteil aus einer anderen Zeit
Die Einwilligung stand einst im Zentrum der Debatte um den Schutz vor staatlicher Datenverarbeitung. Im Volkszählungsurteil entschied das Bundesverfassungsgericht erstmals, dass „unter den Bedingungen der modernen Datenverarbeitung“ grundsätzlich jede Person selbst entscheiden dürfe, wer welche Daten über sie verarbeitet und schuf so das „Grundrecht auf informationelle Selbstbestimmung“. So einleuchtend dieser Fokus auf die Selbstbestimmung im ersten Moment erscheinen mag: Selbst im Kreise jener, die eindeutig zu Verfechter:innen eines starken Datenschutzes zählen, machte sich schnell Ernüchterung breit. So schrieb der prominente Datenschutzjurist und ehemalige hessische Datenschutzbeauftragte Spiros Simitis bereits wenige Monate nach dem Volkszählungsurteil in einem Fachaufsatz, dass das Volkszählungsurteil „nicht die Geburtsstunde eines neuen Grundrechts“ sei und es ein Datenschutz-Grundrecht genauso wenig gäbe wie zuvor.
Stattdessen stellte das Urteil die Weichen dafür, dass Datenschutz noch heute vorrangig als Unterkategorie des Persönlichkeitsrechts verstanden wird. Schon rein begrifflich legte das Bundesverfassungsgericht mit der informationellen Selbstbestimmung das Fundament für Slogans wie „meine Daten gehören mir“. Dass noch heute Datenschutz mit der Erteilung von Einwilligungen gleichgesetzt wird, überrascht deshalb nicht. Statt die strukturellen gesellschaftlichen und wirtschaftlichen Folgen einer allgegenwärtigen Datenverarbeitung in den Blick zu nehmen, lag und liegt der Fokus allein auf einer Stärkung der Entscheidungsmacht des Individuums. Die Schwäche dieses Ansatzes, der in Teilen auch die europäische Datenschutzgrundverordnung geprägt hat, wurde erst nach und nach deutlich.
Das Problem wird heute jedoch besonders greifbar, wenn man sich vergegenwärtigt, dass das Urteil im Dezember 1983 gesprochen wurde und in welcher technischen Realität die Richter:innen lebten. Als sie von den „Bedingungen der modernen Datenverarbeitung“ sprachen, war die primäre Bedrohung der neugierige Staat, der ungefragt Einblick nahm in das Leben der Menschen. Einen Monat bevor Apple mit dem Macintosch 1984 die grafische Benutzeroberfläche populär machen würde, war kaum vorstellbar, dass 40 Jahre später jeder Mensch über Smartphones dauerhaft vernetzt und digitale Kommunikation unerlässliche soziale Teilhabe sein würde.
Ging es 1983 noch darum, sich gegen neugierig an der Tür klingelnde Volksbefrager:innen zu wehren, geht es heute darum, jeden Herzschlag, jede intime Nachricht und jeden Schritt vor die Tür gegen wirtschaftliche Verwertung durch Datenverarbeitende zu schützen.
Selbstbestimmung nur für wenige
Und genau an dieser Stelle versagt ein rein auf Selbstbestimmung und digitale Souveränität verengter Datenschutz, wie sich in den immer gleichen Debatten um eine Stärkung der Einwilligung zeigt. Die Praxis von o2 ist dafür ein mahnendes Beispiel.
„Wer würde denn bitte freiwillig neun unterschiedliche Einwilligungen erteilen, wenn er die Wahl hat?“ fragt der namentlich verfremdete Shop-Betreiber Rainer Hartmann in dem Artikel. Die Antwort ist aber nicht so leicht, wie es scheint. Wer reflexartig „Niemand“ antworten möchte, übersieht, in welcher wirtschaftlichen und gesellschaftlichen Realität sich Kund:innen und Mobilfunkanbietende befinden. Oft genug sind an die Einwilligung Vorteile geknüpft, auf die viele nicht verzichten können, etwa die Nutzung von journalistischen oder sozialen Medien, ohne dafür Geld zahlen zu müssen.
Die Einwilligung ist nur in einer utopischen Welt ohne Machtungleichgewicht ein Ausdruck von Selbstbestimmung. In unserem von Abhängigkeiten und Herrschaftsverhältnissen geprägten Alltag ist eine Einwilligung hingegen immer auch Resultat von Zwängen. Ein reichhaltiger Vorrat an Zeit, Bildung, Geld und mentaler Kapazitäten sind das Privileg weniger. Teilhabe an der digitalen Infrastruktur mit ausreichend schnellem Volumen im Monat hingegen ist fast so unverzichtbar wie Arbeiten, Atmen und Schlafen.
Mehr Transparenz und höhere formelle Anforderungen an eine Einwilligung mögen diejenigen als Stärkung ihrer Position empfinden, die genug Zeit haben, sich jede Einwilligung erklären zu lassen. Die verstehen, was es bedeutet, dass Verkehrs- und Bestandsdaten zu Nutzungsprofilen verarbeitet werden. Die es sich leisten können, auf werbefinanzierte Tarife zu verzichten. Die Einwilligung bedeutet für diese privilegierte Minderheit die Freiheit von dem Zugriff der Datenkonzerne. Für die große Mehrheit aber bedeutet sie lediglich die Freiheit, ihre Daten eben jenen zur Verwertung überlassen zu dürfen.
Die Antwort auf Machtungleichheit und Abhängigkeit ist niemals nur mehr Transparenz. Deshalb kann auch die Forschung rund um Dark Patterns nur einen unwesentlichen Beitrag zur Lösung beitragen. Der Kampf gegen die missbräuchliche Gestaltung von Benutzeroberflächen, um natürliche Verhaltensweisen von Menschen auszunutzen und in eine bestimmte Richtung zu steuern, erhöht zwar die Hürden für eine wirksame Einwilligung. Solange die Entscheidungsfreiheit, die damit abgesichert werden soll, aber weiterhin in dem unveränderten Kräfteungleichgewicht besteht, bleibt die Einwilligung immer (auch) eine Reaktion auf Abhängigkeiten. Der Verzicht auf Schutz ist dann zwar noch informierter, den eigentlichen Interessen der Betroffenen entspricht die damit legitimierte Datenverarbeitung aber ebenso wenig.
Wir müssen über Verbote sprechen
Recht hat Rainer Hartmann damit, dass wahrscheinlich die wenigsten Menschen Interesse daran haben, dass Mobilfunkkonzerne ihre Daten derart verarbeiten. Nur ist die Einwilligung eben keine taugliche Reaktion auf diese Erkenntnis. Zu stark bleiben die wirtschaftlichen Anreize, sich mittels legaler oder grenzwertiger Tricks weiter Einwilligungserklärungen zu verschaffen.
Dass die bei o2 aufgedeckten Verstöße geahndet werden, ist notwendig. Das Problem ist jedoch nicht, dass die formalen Hürden für eine wirksame Einwilligung oder die Anforderungen an Transparenz nicht streng genug wären oder zu wenig durchgesetzt würden. Das eigentliche Problem ist, dass die Einwilligung – solange sie als Regelungsinstrument ihre dominierende Rolle behält – es weiterhin zulässt, die digitalen Spuren unseres Alltags überhaupt einer Ökonomisierung auszuliefern. Zwischen uns und der Totalauswertung unseres digitalen Lebens stehen weiterhin nur ein paar kleine Einwilligungshäkchen.
Diese Erkenntnis sollte ein Weckruf sein, sich nach Alternativen zur Einwilligung umzusehen und sich Gedanken über klare gesetzliche Grenzen für Datenverarbeitungen zu Werbezwecken zu machen. Grenzen, über die auch die Einwilligung nicht mehr hinweghelfen kann. Grenzen, die die Anreize für den Missbrauch der Einwilligung entfallen lassen. Grenzen, die uns das Schauspiel ersparen, dass die Einwilligung in einer Position der Schwäche als Akt der Souveränität verkauft wird.
Es ist schlicht notwendig, dass wir im Datenschutz über Verbote sprechen. Überall dort, wo Daten Teil einer Gegenleistung für essentielle Dienste sind oder dort, wo Betroffene regelmäßig aus der Position der Unterlegenheit agieren, müssen wir dem Missbrauchspotential der Einwilligung dadurch begegnen, dass sie als Rechtsgrundlage ausscheidet. Und das unabhängig davon, wie transparent die Datenverarbeitung erklärt und wie umfassend Betroffene informiert werden.
Derartige Grenzziehungen kennt das Recht an vielen Stellen. Sei es im Mietrecht, im Arbeitsrecht oder im Verbraucherschutzrecht: Schönheitsreparaturklauseln, Unterschreitungen des Mindestlohns oder Verkürzungen der Gewährleistung sind verboten, egal wie eindeutig darauf im Vertrag hingewiesen wird. Eine Debatte über eine gleichermaßen klare Grenzziehung ist im Kontext der Erstellung von Nutzungsprofilen und ihrer Verarbeitung zu Werbezwecken überfällig.
Malte Engeler ist Doktor der Rechtswissenschaften, arbeitet als Richter am Schleswig-Holsteinischen Verwaltungsgericht und zählt zu den profiliertesten Datenschutzjuristen des Landes. Er war mehrfach Sachverständiger bei Anhörungen im Deutschen Bundestag, war stellvertretender Referatsleiter bei der Schleswig-Holsteinischen Datenschutzaufsicht und ist Autor zahlreicher wissenschaftlicher Fachartikel sowie mehrerer Gastbeiträge auf netzpolitik.org (1, 2, 3, 4). Engeler betreibt mit deathmetalmods.de einen eigenen Tech-Blog und kommuniziert öffentlich auf Twitter und Mastodon.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires