Datenschutz, Datensicherheit, Digitale Souveränität. Alles das gleiche? Mitnichten! Trotzdem werden diese Aspekte gerne durcheinander geworfen und der Eindruck erzeugt, dass alles mit allem verbunden ist. Deshalb ist eine Klärung wichtige Grundbegriffe notwendig.
Datenschutz
Datenschutz ist primär der Schutz personenbezogener Daten vor einer missbräuchlichen Verwendung. Damit verbunden ist das Recht auf informationelle Selbstbestimmung, der Schutz von Persönlichkeitsrechten bei der Datenverarbeitung und der Schutz der Privatsphäre.
Eines der größten Missverständnisse dabei besteht in der Definition von “personenbezogen”. Viele Menschen mit Interesse an Datenschutz glauben, dass alle durch sie verursachten Daten “personenbezogen” wären. Umso enttäuschter sind sie dann über den Umfang einer DSGVO-Auskunft. Das ist aber falsch. Daten, die bereits durch die Erhebung keine Rückschlüsse auf die Verursacher zulassen oder komplett anonymisiert wurden sind keine personenbezogenen Daten. Strittig ist dabei höchstens ab wann Daten personenbezogen sind. Nicht jede Datenverarbeitung unterliegt daher den Anforderungen der Datenschutz-Gesetzgebung.
Daher sollte man immer vorsichtig sein, wenn vermeintliche Verstöße gegen den Datenschutz angeprangert werden. Insbesondere in der “Datenschutz-Szene” wird jede Datenübertragung oder jeder digitale Verbindungsaufbau gerne so bezeichnet.
Relevante Gesetze im Bereich des Datenschutzes ist die Datenschutz-Grundverordnung der Europäischen Union (DSGVO), das Bundesdatenschutzgesetz und die entsprechenden Gesetze der Bundesländer. Die juristischen Regelungen haben gemein, dass sie die Problematik der Verarbeitung personenbezogener Daten durch ein prinzipielles Verbot mit Erlaubnisvorbehalt, d. h. die informierte Einwilligung der Betroffenen, lösen wollen. Aus diesem Grund nehmen die Bestätigung von Datenschutzbedingungen, Allgemeinen Geschäftsbedingungen und separaten Einwilligungen im analogen, wie digitalen Bereich stetig zu. Besonders präsent sind die immer aufdringlicher werdenden so genannten “Cookie-Banner” aber auch abseits davon nehmen Einwilligungen immer mehr zu. Neben der Einwilligung gibt es zwar noch einige weitere Gründe für eine Verarbeitung, wie z. B. das berechtigte Interesse. Weil diese Regelungen, im Gegensatz zur Einwilligung, aber nicht klar definiert sind und letztlich der Auslegung durch Gerichte harren, präferieren die meisten Datenschützer eine Einwilligung.
Zwischenfazit:
- Nicht alle erhobenen und verarbeiteten Daten sind personenbezogen.
- Die Verarbeitung personenbezogener Daten ist bei Vorliegen einer informierten Einwilligung erlaubt.
Datensicherheit
Datensicherheit bezeichnet in der Regel die technischen Maßnahmen zur Absicherung gegen Verlust oder Manipulation von Daten. Meistens wird auch die Verfügbarkeit von Diensten unter diesem Begriff subsummiert. Im Fokus stehen hier nicht die Datenerzeuger, sondern die Daten selbst.
Datensicherheit hat daher grundsätzlich erst einmal wenig mit Datenschutz zu tun. Ein einfaches Beispiel verdeutlicht dies: Aus Gründen des Datenschutzes wäre es schlecht E-Mail Dienstleistungen bei einem großen Dienstleister wie beispielsweise Google abzuwickeln. Das Gleiche gilt für die Speicherung von Daten in der so genannten Cloud. Bei einem Fokus auf Datensicherheit wäre genau das Gegenteil der Fall. Ein professioneller Großanbieter wie beispielsweise Google besitzt in der Regel eine Infrastruktur, die besser gegen Datenverlust geschützt ist, als kleine Unternehmen oder gar Privatpersonen. Gleiches gilt bezüglicher der Ausfallsicherheit.
Datenschutz und Datensicherheit korrelieren lediglich in einem einzigen Bereich direkt miteinander. Erhobene personenbezogene Daten müssen angemessenen Maßnahmen zum Schutz unterliegen.
Zwischenfazit:
- Datensicherheit meint Schutz vor Verlust, Manipulation oder Ausfall.
- Datensicherheit ist kein Synonym für Datenschutz oder steht in unmittelbarer Verbindung hierzu.
Digitale Souveränität
Mit zunehmender Bedeutung des Digitalen für die Funktionsfähigkeit von Staat, Wirtschaft und Gesellschaft hat das Schlagwort der digitalen Souveränität in den letzten Jahren an Bedeutung gewonnen. Gemeint ist selbstbestimmtes Handeln und Entscheiden, sowie die Kontrolle über digitale Technologien. Dahinter steht die Beobachtung, wie sehr insbesondere die ansonsten hochentwickelten Staaten der Europäischen Union von Software, Hardware und Dienstleistungen aus Ländern wie den USA oder China abhängig sind. Sie sind demnach digital nicht souverän.
Digitale Souveränität wird als Schlagwort meist auf Staaten oder staatliche Organisationen angewandt, kann aber als digitale Unabhängigkeit bzw. Autonomie auch auf Firmen und NGOs oder in selteneren Fällen auf Privatpersonen angewandt werden.
Ein praktisches Beispiel aus dem Bereich der digitalen Souveränität ist das europäische Projekt GAIA X (siehe Projektpapier BMWI). Letztlich kann aber auch der Betrieb einer eigenen Cloud auf einem Homeserver durch eine Privatperson darunter verstanden werden. Die Tendenz föderalisierte Dienste zu bevorzugen entstammt ebenfalls diesen Bemühungen.
Digitale Souveränität steht in keinem direkten Bezug zu Datenschutz und Datensicherheit. Die Verbindung entsteht erst durch das grundsätzliche Misstrauen in die Datenverarbeitung ausländischer Konzerne, sowie die Verfügbarkeit von deren Infrastruktur und Technologie im Konfliktfall.
Zwischenfazit:
- Digitale Souveränität bezeichnet eine Strategie von Staaten und Unternehmen (sowie ggf. Privatpersonen) um digitale Unabhängigkeit.
- Es gibt keinen direkten Zusammenhang mit Datenschutz und Datensicherheit
Schlussfolgerung
Die drei Phänomene stehen eigentlich relativ lose Nebeneinander. Es gibt lediglich in einigen Bereichen Berührungspunkte, die sich aber mutmaßlich auch zu dutzenden anderen Konzepten herstellen ließen. Die eigentliche Verbindung entstehen durch die verschränkten Interessen der engagierten Verbände, Unternehmen und Privatpersonen.
Insbesondere Datenschutz-Aktivisten interessieren sich oft gleichermaßen für digitale Souveränität bzw. sehen das Fehlen selbiger als Datenschutzproblem. Ihre Argumentationsstrukturen beziehen zudem oft Probleme der Datensicherheit ein. Wichtige Verbände und Unternehmen aus dem Open Source Sektor sehen in der Umsetzung der Strategie zur digitalen Souveränität einen Hebel um ihre wirtschaftlichen Interessen durchzusetzen. Um die Entwicklung zu forcieren schüren sie Befürchtungen hinsichtlich Datenschutz und Datensicherheit.
Eine argumentative Verschränkung ist grundsätzlich nicht problematisch, treibt aber manchmal seltsame Blüten. In einigen Kreisen sind in jüngster Zeit föderalisierte freie Dienste (wie Mastodon, Matrix, Riot etc. pp) en vogue. Diese Dienste stärken zwar die digitale Souveränität, sind aber teilweise erwiesenermaßen schlechter hinsichtlich Datenschutz und Datensicherheit, als zentralisierte oder gar proprietäre Alternativen.
Also Augen auf wenn die Aspekte zu offensiv vermischt werden und am Ende nicht mehr klar ist, was eigentlich das Schutzziel sein soll.