Wer im Internet unterwegs ist, muss auf nahezu jeder Website zustimmen, dass der Betreiber seine Daten nutzt. Seit der Einführung der Datenschutzgrundverordnung ist bei den Anbietern die Angst vor hohen Bußgeldern gestiegen - und mit ihr die Zahl der Klickfenster. Oft geht es um Tracking-Cookies: Diese winzigen Textdateien ermöglichen es Webservern, einen User wiederzuerkennen und so etwa personenbezogene Daten über Interessen, Präferenzen oder Gewohnheiten zu sammeln und für Werbe- und Verkaufszwecke zu nutzen.
Hinter dieser Praxis steht der Grundsatz "notice-and-consent", also Hinweis und Einverständnis. Er ist letztlich eine Entscheidungsfiktion, manche Kritiker sprechen sogar von "der größten Lüge im Internet". In einer Umfrage des Meinungsforschungsinstituts Allensbach etwa gaben 77 Prozent der Befragten an, sie hielten es für sinnlos, Datenschutzbestimmungen zu lesen. Sie müssten ihnen ohnehin zustimmen, wenn sie Internetdienste wie Facebook oder Whatsapp nutzen wollten. Viele User schätzen die Vorteile, die sie dadurch erhalten, dass sie ihre Daten preisgeben, höher ein als die Risiken für ihre Privatsphäre.
Die datenschutzrechtliche Einwilligung beruht auf der Vorstellung eines souveränen Datenbürgers: Jeder soll selbst bestimmen, welche personenbezogenen Daten er preisgibt und wie Websitebetreiber diese verwenden dürfen. Das Konzept der Einwilligung prägt das Datenschutzrecht von Anfang an. Bereits in der sogenannten Volkszählungsentscheidung des Bundesverfassungsgerichts aus dem Jahr 1983 - dem Urknall für die Datenschutz-Gesetzgebung in Deutschland - spielte Datenautonomie eine selbstverständliche Rolle. Doch in der Realität sind die wenigsten Nutzer informiert. Die Zweckbindung der Datennutzung bleibt für viele abstrakt. Wenn Nutzer von bestimmten Internetdiensten abhängig sind, kann von Freiwilligkeit auch keine Rede sein. Viele erlauben Facebook lieber, ihre Daten zu nutzen, als nicht zu wissen, was Freunde und Kollegen hier teilen, oder auf die Netzwerkvorteile zu verzichten.
Datenschutzrechtliche Einwilligungen müssen sich stärker nach Kontext unterscheiden
Für Unternehmen bleibt die Einwilligung deshalb Mittel der Wahl, um etwa personalisierte Werbung rechtlich abzusichern. Für Verbraucher dagegen führt sie regelmäßig zur Entscheidungsfiktion. Es stellt sich also die Frage, welche Alternativen es zur jetzigen Rechtspraxis gibt. Die Sorgsamkeit im Umgang mit Daten könnte sich verbessern, wenn diese eher als eigentumsähnliches Recht betrachtet würden statt unter Gesichtspunkten des Personenschutzes. Würden persönliche Daten als wirtschaftlicher Wert angesehen, würden Internetnutzer eher die Kosten-Nutzen-Kalkulation auf sich nehmen: Welche Daten gebe ich preis, welchen Wert haben sie und was erhalte ich dafür?
Vor allem aber müssten datenschutzrechtliche Einwilligungen stärker nach Kontext unterschieden werden. Schließlich hängt die Sorgsamkeit des eigenen Umgangs mit personenbezogenen Daten stark hiervon ab. Wenn das Tracken von Lesepräferenzen auf einer Nachrichtenseite allein dazu führt, dass ein Nutzer entsprechende Vorschläge für Beiträge erhält, kann die Einwilligung eine angemessene Grundlage sein. Sind die Machtverhältnisse allerdings asymmetrisch und ist die Datennutzung hochkomplex, sollte der Gesetzgeber beschränken, welche Punkte eine Einwilligung umfassen darf. Vorstellbar wäre es, die Auswertung von Gesundheitsrisiken oder politische Präferenzen explizit auszuschließen. Auch technische Assistenten könnten etwa die eigene Einwilligungspraxis dokumentieren und etwa bei gesteigertem Risiko aktiv warnen.
Es muss für die Menschen einfacher werden zu wissen, was sie tun beim Erteilen einer datenschutzrechtlichen Einwilligung - und schwieriger, aus purem Fatalismus in riskanter Sorglosigkeit zu verharren.
Tobias Gostomzyk ist Professor für Medienrecht an der TU Dortmund.
