Datenschutz nicht begriffen

Als kürzlich die Migros und Coop ihre neuen Kreditkarten ankündigten, reagierten die Konsumentenschützer keineswegs freudig, wie man es eigentlich hätte erwarten können. Vielmehr befürchteten sie, dass der Datenschutz für die Kundschaft nicht mehr gewährleistet sein würde. Weil Herausgeber von Kreditkarten gesetzlich verpflichtet sind, eine Bonitätskontrolle eines Antragstellers durchzuführen, würden sie sehr viel mehr Informationen über ihre Kunden erhalten als bisher. Deshalb sei eine strenge Kontrolle der Datenverarbeitungssysteme nötig.

Für Migros und Coop ist das nichts neues. Schon die Einführung ihrer Kundenkarten wurde argwöhnisch beobachtet. Ihre Datenflüsse und IT-Systeme werden allerdings auch andere Firmen künftig genauer überwachen, dokumentieren und regulieren müssen. Schuld daran sind die kürzlich verabschiedeten Revisionen des Datenschutz- und Fernmeldegesetzes, welche voraussichtlich ab 2007 das Bearbeiten von Daten noch stärker als bisher regulieren. So verbietet das neue Fernmeldegesetz das Setzen von Cookies und andere Aktivitäten, bei denen auf dem Computer des Benutzers Daten gelesen, geschrieben oder sonst wie bearbeitet werden, falls der Benutzer nicht vorher darüber orientiert worden ist. Das neue Datenschutzgesetz doppelt nach: Wer zum Beispiel Persönlichkeitsprofile – etwa Informationen über das Einkaufsverhalten von Kunden – sammelt und dies vorab nicht kommuniziert hat, riskiert ebenfalls eine Busse. Gegen mehr Aufklärung und Transparenz ist an sich nichts einzuwenden. Im neuen Datenschutzgesetz wird daher richtigerweise explizit verlangt werden, dass Betroffene «erkennen» können müssen, wann Daten über sie zu welchem Zweck erhoben werden. Das Parlament hat allerdings in einem Schnellschuss zusätzlich dafür gesorgt, dass nicht mehr wie bisher Ausnahmen von einem solchen Datenschutzgrundsatz möglich sind. Wer also auf seinem Computersystem einen Datendieb zu überführen versucht, muss ihm dies künftig also vorher ankündigen, so absurd das auch klingen mag.

Die Datenschützer werden sich über solche Bestimmungen freuen, doch ein Fortschritt sind sie nicht, da praxisfremd und ohne echten Nutzen für den Datenschutz. Wenn ein Datenbearbeiter betroffene Personen über seine Aktivitäten aufklären muss, macht das nur dann Sinn, wenn eben diese Personen sich für diese Information auch interessieren und – gestützt darauf – ihre Datenschutzrechte wahrnehmen. In der Praxis geschieht aber weder das eine, noch das andere. Wer hat zum Beispiel jemals schon die «Privacy Policy» einer Website studiert? Und wer hat, als er sich für eine Kreditkarte angemeldet hat, das Kleingedruckte gelesen? Es ist nicht erstaunlich, dass hierzulande noch nie ein Gerichtsverfahren wegen datenschutzwidriger Bearbeitung von Kundendaten bekannt wurde, obwohl das Datenschutzgesetz über zehn Jahre alt ist. Auch interessiert sich kaum jemand für das Register der Datensammlungen, welches der Eidgenössische Datenschutzbeauftragte bei sich führen muss. Trotzdem werden mit dem neuen Gesetz viele Betriebe neu zur Eintragung ihrer Datenbestände in dieses Register gezwungen, falls sie nicht das Geld für eine Datenschutzstelle oder -zertifizierung aufbringen wollen. Rechtsanwälte und anderen Berater in Datenschutzfragen werden davon profitieren, Konsumenten die Bearbeitung ihrer Daten jedoch genauso gleichgültig zulassen wie bisher.