Unter dem Begriff „personenbezogene Daten” können sich die meisten etwas vorstellen. Dazu gehören zum Beispiel Namen, Anschriften, Standortdaten und IP-Adressen. Diese Daten sind schützenswert, das ist für Menschen im EU-Raum völlig klar. Aber wie denken Menschen in anderen Teilen der Welt über ihre Daten und wie gehen sie mit ihnen um? Dazu forschte der Jurist Kai von Lewinski mit seinen Kolleginnen und Kollegen von der Universität Passau interdisziplinär in einem mehrjährigen bidt-Forschungsprojekt. Dieses vereint Perspektiven der Rechtswissenschaft, Kulturwissenschaft und Wirtschaftsinformatik und wurde nun erfolgreich abgeschlossen.
Herr von Lewinski, in welchen Ländern geben Menschen besonders bereitwillig ihre Daten preis?
Kai von Lewinski: Die Bereitschaft, eigene Daten preiszugeben, hängt von der kulturellen Prägung und den rechtlichen Rahmenbedingungen eines Landes ab. Zudem entscheiden Einzelpersonen in der konkreten Situation über die Preisgabe persönlicher Daten. Klicke ich beispielsweise beim Cookie-Banner auf „Alle akzeptieren” oder mache ich mir die Mühe, optionale Cookies abzulehnen?
Im Projekt hat uns interessiert, warum Datenschutz in verschiedenen Regionen der Welt so unterschiedlich gesehen wird. Ein interessantes Ergebnis ist, dass Menschen in Asien und Afrika ein anderes Verständnis von „ihren Daten” haben. Es geht dort nicht nur um die Daten des Individuums, sondern auch um die Daten der eigenen Community. Innerhalb einer Gruppe, zum Beispiel der erweiterten Familie oder einer Dorfgemeinschaft, gibt es das Verständnis von exklusiven Daten des Einzelnen weniger. Aber die Gruppe möchte ihre Daten vor „dem Außen” schützen. In Afrika und Asien wird Datenschutz kollektiver verstanden als im individualistischen Westen.
In Europa halten wir den Schutz persönlicher Daten sehr hoch. In anderen Weltgegenden herrscht ein gewisses Unverständnis für diese europäische Fixierung auf Datenschutz.
Prof. Dr. Kai von Lewinski Zum Profil
Welche Länder haben Sie untersucht?
von Lewinski: Wir konnten nicht alle 200 Länder untersuchen, deswegen haben wir eine repräsentative Auswahl getroffen. Die EU, unsere Heimatrechtsordnung, sowie die Schweiz. Amerika und China als wichtige Akteure, Ghana als afrikanisches Land und Repräsentant des globalen Südens, Brasilien als „emerging market“ für die Region Südamerika. Zudem Japan als asiatischer Staat mit einer anderen politischen Ordnung als China. Anfangs war noch Russland dabei. Dort konnten wir aber, aufgrund der bekannten Ereignisse, keine repräsentativen Umfragen durchführen.
Wie vergleicht man das Datenschutzrecht in unterschiedlichen Ländern?
von Lewinski: Mittels einer funktionalen Rechtsvergleichung. Das heißt, wir haben nicht nur das Datenschutzrecht, wie es in anderen Ländern geschrieben steht, untersucht. Auch ein Vergleich der Begriffe „Datenschutz”, „Data Protection”, „Privacy” usw. hätte uns nicht weitergebracht. Sondern wir fragten: Was ist das funktionale Äquivalent zum Datenschutz, wie wir ihn in Europa kennen?
Diese Äquivalenz findet man nicht allein in der Gesetzgebung der einzelnen Länder. Diese sind teilweise recht ähnlich, denn es gibt viele Nacheiferer der europäischen DSGVO, das ist der sogenannte „Brussels Effect“. Vielmehr müssen wir uns außerrechtliche Vektoren im Vergleich anschauen, die wir aus den empirischen Vorgehensweisen der Kulturwissenschaften und Wirtschaftsinformatik ziehen können.
Im Projekt nutzten Sie dafür die Konzepte „Law in the Books” und „Law in Action”. Diese befassen sich mit der praktischen Anwendung von Gesetzen und ihrer tatsächlichen Umsetzung in der Gesellschaft. Gilt denn das Datenschutzrecht nicht, wie es geschrieben steht?
von Lewinski: Gesetze gelten natürlich, aber überall auf der Welt fallen das geschriebene Gesetz und die tatsächliche Anwendung auseinander. Law in the Books bezieht sich auf das formelle Gesetz, also Rechte, Pflichten und Strafen für Bürgerinnen und Bürger sowie Institutionen. Law in Action meint die Anwendung in der realen Welt: Wie Strafverfolgungsbehörden Gesetze durchsetzen, wie Richter Urteile fällen und vor allem wie Bürgerinnen und Bürger oder Unternehmen das Gesetz im täglichen Leben befolgen oder umgehen. Das geschriebene Gesetz „lebt” in einer bestimmten Kultur, die man sich genau anschauen muss.
Für das bidt-Projekt arbeiteten drei ziemlich verschiedene Wissenschaften zusammen. Warum war das wichtig?
von Lewinski: Wir Juristen, also Professor Moritz Hennemann, ich und das Forschungsteam der Rechtswissenschaften, haben uns die Datenschutzgesetze der Länder als Ausgangspunkt vorgenommen. Für unser Projekt war aber klar: Das Recht allein kann nicht erklären, wie Datenschutz in verschiedenen Ländern tatsächlich gehandhabt wird. Es muss kulturelle Vektoren geben, die diese Handhabung bedingen, prägen und wiederum von ihr geprägt werden. Die Perspektive der Kulturwissenschaften, in Person von Professorin Daniela Wawra und ihrem Team, war deshalb unerlässlich. Zudem brachte Professor Thomas Widjaja mit seinem Mitarbeiter die verhaltensökonomische Perspektive in das Forschungsprojekt ein. Die Ökonomie kann uns zum Beispiel erklären, wie Menschen Entscheidungen treffen. Sie lieferten insbesondere Erkenntnisse zur individuellen Regulierungswahrnehmung und darauf aufbauend der -kategorisierung, die die Grundlegung für unser weiteres Vorgehen bildete. Diese konkrete interdisziplinäre Konstellation ist im deutschen Forschungsraum etwas besonderes und war für den Erfolg des Projekts entscheidend.
In welchen Ländern unterscheiden sich das geschriebene Datenschutzrecht und dessen Anwendung besonders stark?
von Lewinski: Zum Beispiel in Brasilien. Unsere Untersuchungen zeigen, dass die Menschen dort auf das geschriebene Gesetz eher weniger vertrauen. Dort herrscht eine relativ große Diskrepanz zwischen dem Law in the Books und dem Law in Action. Auf der einen Seite steht ein Versuch der Annäherung an den europäischen Rechtsrahmen und auf der anderen ein ganz anderes kulturelles Setting einer systematischen, bürokratieskeptischen Nichtbefolgung. Trotzdem gibt es eine Verlässlichkeit der Regeln. Alle wissen, es funktioniert anders als im Gesetz festgeschrieben, aber man kommt damit klar. Das Vertrauen in die Datenschutzpraxis ist deutlich höher als das Vertrauen in Datenschutzgesetze. Ähnlich haben wir es in Afrika gesehen.
Das ist für uns Juristen natürlich ein etwas verstörender Befund. Es funktioniert alles und die Leute sind nicht unzufrieden. Aber das hat mit dem geschriebenen Gesetz gar nicht so viel zu tun.
Prof. Dr. Kai von Lewinski Zum Profil
Alle untersuchten Länder haben Datenschutzkonzepte. Welches sind die gravierendsten Unterschiede?
von Lewinski: Die DSGVO bei uns in Europa funktioniert nach dem Verbotsprinzip. Personenbezogene Datenverarbeitung ist generell verboten, so steht es im Gesetz. In anderen Ländern, insbesondere in den USA und Japan, ist die Verarbeitung personenbezogener Daten nicht grundsätzlich verboten, sondern einzelne Verarbeitungsarten werden reglementiert.
Das ist interessant, denn über den Atlantik hinweg ringen zwei ökonomische Riesen miteinander, die EU und die USA. Das Instrument der Europäer ist Druck durch Regulierung, und dieser wirkt natürlich nicht nur auf die USA: Rechtsordnungen wie Ghana oder Brasilien passen sich den EU-Regelungen an, denn sie wollen die Wirtschaftsbeziehungen nicht gefährden. Das heißt, dort nimmt der Gesetzgeber als Textvorlage einfach die DSGVO. Unsere Untersuchungen zeigten, dass die Praxis – trotz der deutlich textähnlichen Regelungen – anders funktioniert und dass sich Datenschutz für die Menschen in diesen Ländern auch ganz anders anfühlen kann.
Der europäische Digitalmarkt wird stark dominiert von amerikanischen Unternehmen. Einige zentrale EU-Regelungen sind deshalb so zu lesen: Wie bändigen wir die US-Amerikaner?
Prof. Dr. Kai von Lewinski Zum Profil
Welche Projektergebnisse haben Sie überrascht?
von Lewinski: Datenschutz wird insgesamt positiv gesehen. Das hätte ich gerade in den USA, einer sehr unternehmerisch denkenden Gesellschaft, nicht erwartet. Im Rahmen des Projekts haben wir Verbraucherinnen und Verbraucher sowie Compliance-Fachleute befragt. Möglicherweise würden Unternehmer anders antworten, weil Datenschutz für ihre Aktivitäten nochmal eine andere Rolle spielt.
Interessant ist, dass Menschen Datenschutz einerseits für wichtig halten, im konkreten Fall ihr Handeln aber nicht immer danach ausrichten. In der Ökonomie heißt das Privacy Paradox und lässt sich so erklären: Die fühlbare Verletzung der Privatsphäre ist nicht besonders groß, wenn ich auf ein Cookie-Banner klicke. Die eigenen Daten aktiv zu schützen, ist dagegen unbequem. Diese „Bequemlichkeit“ hat in unseren Untersuchungen insoweit eine Bestätigung gefunden, als dass eine als strikter wahrgenommene materiell-rechtliche Regulierung in der Regel dazu führen, dass das Individuum bereitwilliger seine Daten preisgibt.
Menschen teilen persönliche Informationen relativ bereitwillig, obwohl sie gleichzeitig Datenschutz wichtig finden.
Prof. Dr. Kai von Lewinski Zum Profil
Gibt es Handlungsempfehlungen für öffentliche Akteure, die Sie aus Ihren Untersuchungen ableiten können?
von Lewinski: Wenn man nur vergleicht, was in verschiedenen nationalen Gesetzbüchern steht, kann man nicht nachvollziehen, wie Datenschutz in dem jeweiligen Land tatsächlich funktioniert. Das Law in Action ist ein wesentlicher, schwer greifbarer Faktor. Diese wichtige Erkenntnis lässt sich konkret auf die Aktivitäten der Datenschutzbehörden anwenden: Die europäischen Behörden sind gegenüber US-Unternehmen oft hilflos; die tollsten europäischen Datenschutzgesetze nutzen nichts, wenn sie nicht effektiv durchgesetzt werden können. Demgegenüber werden in den USA die viel punktueller vorhandenen Regelungen auch durchgesetzt – die spektakulären Summen an Strafschadensersatz schaffen es dann und wann auch in unsere Schlagzeilen.
Sind Sie denn mit dem aktuellen EU-Gesetz zur Künstlichen Intelligenz zufrieden?
von Lewinski: Eigentlich nicht. KI-Technologie muss reguliert werden, das ist klar. Mit dieser frühen Regulierung nehmen wir uns aber viel Innovationspotenzial im europäischen Raum. Die Konsequenz wird sein, dass wir mit KI-trainierten Modellen leben werden, die nicht nach unseren kulturellen Parametern funktionieren. Weil sie woanders entwickelt wurden, aber natürlich trotzdem bei uns Anwendung finden.
Was empfehlen Sie Privatpersonen in puncto Preisgabe persönlicher Daten im Netz?
von Lewinski: Das Internet fühlt sich überall auf der Welt gleich an. So wie uns bei einer Reise in andere Länder manches sehr vertraut vorkommt. Auf Reisen ist uns aber bewusst, dass sich sowohl die formellen als auch die informellen Regeln mitunter stark von denen in der Heimat unterscheiden. Also bewegen wir uns vorsichtiger. Wir beobachten erstmal, wie es in diesem Land läuft. Das gilt für das Internet und für die Frage der Datenpreisgabe genauso. Webseiten und Anbieter im Netz agieren vor dem Hintergrund ihrer nationalen Gesetzgebung und ihres kulturellen Kontextes. Das sollte man beim Browsen nicht vergessen.
Vielen Dank für das Gespräch!
Das Interview führte Miriam Rummel.
Forschungsprojekt