Zum Hauptinhalt springen
Blogbeitrag

Selbstdatenschutz zwischen Theorie und Praxis – Beitrag von Luise Kranich

Selbstdatenschutz erfordert passende Rahmenbedingungen, geeignete Werkzeuge und viel Eigeninitiative – Nutzen und Wirkung bleiben aber häufig im Verborgenen. Ein (Er-)Klärungsversuch.

Das Interview erschien erstmals im November 2021 in der Studie des Digital Autonomy Hubs „Mensch und Technik in Interaktion. Wie gelingt individuelle digitale Souveränität?“. Die vollständige Publikation ist hier abrufbar.


Selbstdatenschutz – was ist das eigentlich?

Eine grundlegende Definition des Begriffs Selbstdatenschutz finden wir in der Zielsetzung des Digital Autonomy Hubs, der u. a. Nutzer·innen dazu ermutigen und ermächtigen soll, sich mit der eigenen Datensouveränität zu beschäftigen und aktiv zu werden. Eine engere Definition, bei der auch die technischen, organisatorischen sowie rechtlichen Möglichkeiten und Herausforderungen konkreter sichtbar werden, begreift den Selbstdatenschutz als vornehmlich aktive Selbsthilfe oder Selbstverteidigung, – auch dann, wenn sich „Personen einem die Privatsphäre bedrohenden Umfeld gegenübersehen und ihre eigenen Datenschutzpräferenzen durchsetzen möchten“ 1 . Gerade bei der Betrachtung möglicher Hürden und Anreize wird deutlich, warum diese Unterscheidung relevant ist.

Weichenstellungen beim selbstbestimmten Umgang mit digitalen Diensten

Bei der Entscheidung zur selbstbestimmten, souveränen Nutzung digitaler Dienste stellen sich Fragen auf unterschiedlichen Ebenen. Je nach Ausgestaltung des Dienstes sind diese recht einfach zu beantworten oder bergen versteckte Hürden. Am Ende des Entscheidungsprozesses stehen im Wesentlichen drei Szenarien: Nutzung, Askese oder (aktiver) Selbstdatenschutz im engeren Sinne (s. o.). Abbildung 1 zeigt die wichtigsten Weichenstellungen auf dem Weg zu einem dieser Szenarien.

A: Grundsätzliche Entscheidung über Nutzung verschiedener Produkte2

Frage: Möchte ich dieses Angebot (bspw. Messenger-App) nutzen?

Die vermeintlich simple Abwägung zwischen Nutzen und Risiko ist für Nutzende mit großer Unsicherheit verbunden: Das Risiko aus Datenschutzsicht ist meist nicht ohne Weiteres abschätzbar und wird vielen Menschen frühestens nach einem bekannt gewordenen Datenleck bewusst. Einen Dienst nicht zu nutzen (Abschirmung/Askese), ist dagegen häufig mit hohen (sozialen) Kosten verbunden 3 – fehlender Anschluss an ein soziales Netzwerk kann zu Isolation führen, der Verzicht auf ein smartes Thermostat zu höheren Heizkosten. Im beruflichen Kontext könnte die persönliche Präferenz für oder gegen die Nutzung eines Dienstes sogar durch Unternehmensvorgaben aufgehoben werden: Trotz DSGVO und strenger Auflagen im Beschäftigtendatenschutz fehlen in Geschäftsprozessmodellen häufig Privacy-Fragestellungen. 4

B: Alternativprodukte

Frage: Gibt es funktional vergleichbare Produkte, die eine höhere Datensouveränität ermöglichen?

Bei einem Vergleich von Alternativen stellen sich Nutzer·innen zwei wesentliche Herausforderungen: die Informationsasymmetrie und die Kompatibilität im organisatorischen sowie technischen Sinne. Auch für technisch Versierte ist es schwer, an relevante Informationen zu gelangen: Die Prüfung der Vertrauenswürdigkeit der Anbieter sowie die Kompatibilität mit anderen Lösungen ist häufig kaum abzuschätzen und zukünftige Änderungen durch den Anbieter sind nicht vorherzusehen, etwa der Umzug einer Smart-home-Verwaltungssoftware von einer On-Premise-Lösung in die Cloud. Insbesondere bei stark vernetzten Produkten, wie bspw. WLAN-Lautsprechern, führt eine fehlende technische Interoperabilität häufig zu Lock-In-Effekten, d. h. ein Wechsel zu anderen Anbietern ist erschwert.

C: Anpassbarkeit

Frage: Kann ich mögliche Schwachstellen mit vertretbarem Aufwand selbst beheben?

Auch wenn es der nutzenden Person gelingt, die Privatsphäre-Einstellungen eines Dienstes an die eigenen Wünsche anzupassen – bspw. durch aufwändige Neukonfiguration der Cookie-Genehmigungen einer Webseite – ist noch keine vollständig selbstbestimmte Nutzung gewährleistet. Einige Anbieter bedienen sich manipulativer Mechanismen – so genannter ‚Dark Patterns‘ – um Nutzer·innen unbewusst zu einem gewünschten Verhalten zu motivieren. Ein bekanntes Beispiel ist die Erzeugung eines gefühlten Termindrucks durch den Anschein einer Verknappung („x Personen sehen sich das Hotelzimmer auch gerade an“).

Zuständigkeiten und Gestaltungsspielräume

Erst wenn die ersten drei Fragen in Abbildung 1 mit „Nein“ beantwortet wurden und dennoch ein Wunsch zur Nutzung besteht, greift Selbstdatenschutz im engeren Sinne. Zur Lösung können verschiedene Akteure tätig werden.

D: Verantwortlichkeiten beim Umgang mit Schwachstellen

Frage: Wer initiiert systemische Anpassungen, um höhere Datensouveränität zu erreichen?

Drei Akteursgruppen können die aus ihrer Sicht notwendigen Anpassungen maßgeblich treiben: Nutzer·innen durch vorgesehene oder nicht vorgesehene Anpassungen, staatliche Initiativen zur datenschutzförderlichen Gesetzgebung und Rechtsprechung und die Anbieter technischer Selbstdatenschutzlösungen durch ergänzende Software wie Werbeblocker, die bspw. den Datenfluss zwischen dem Endgerät der Nutzer·innen und dem Online-Dienst überwachen und steuern.

IT-Industrie, Forschung, Verwaltung und Zivilgesellschaft als Treiber neuer Produktkonzepte

Ein wichtiger Beitrag des Digital Autonomy Hubs und weiterer Projekte ist es, die Akteursgruppen untereinander sowie mit den Diensteanbietern zu vernetzen und frühzeitig Anforderungen und Befürchtungen der Nutzenden in den Produktentstehungsprozess einzubeziehen. So können im Optimalfall aus Prinzipien eines reinen ‚Privacy-by-design‘-Ansatzes umfassendere ‚Sovereignty-by-design‘-Methoden partizipativ entwickelt und erprobt werden.


1 Wagner, Manuela (2020): Datenökonomie und Selbstdatenschutz. Grenzen der Kommerzialisierung personenbezogener Daten. [1. Auflage]. Köln: Carl Heymanns Verlag (Karlsruher Schriften zum Wettbewerbs- und Immaterialgüterrecht, Band 39).

2 Ein ‚Produkt‘ kann hier ein rein digitales Produkt, z. B. eine App oder ein Online-Dienst, oder aber ein cyberphysisches System sein, also eine Kombination aus Hard- und Software.

3 Alpers, Sascha; Betz, Stefanie; Fritsch, Andreas; Oberweis, Andreas; Schiefer, Gunther; Wagner, Manuela (2018): Citizen Empowerment by a Technical Approach for Privacy Enforcement. In: Proceedings of the 8th International Conference on Cloud Computing and Services Science. 8th International Conference on Cloud Computing and Services Science. Funchal, Madeira, Portugal, 3/19/2018 - 3/21/2018: SCITEPRESS - Science and Technology Publications, S. 589–595.

4 Alpers, Sascha; Pilipchuk, Roman; Oberweis, Andreas; Reussner, Ralf (2018): Identifying Needs for a Holistic Modelling Approach to Privacy Aspects in Enterprise Software Systems. In: Proceedings of the 4th International Conference on Information Systems Security and Privacy. 4th International Conference on Information Systems Security and Privacy. Funchal, Madeira, Portugal, 22.01.2018-24.01.2018: SCITEPRESS – Science and Technology Publications, S. 74–82.


Luise Kranich leitet am FZI Forschungszentrum Informatik die Berliner Außenstelle und den Forschungsbereich „Innovation, Strategie und Transfer“. Mit ihrem Team forscht sie an technologischen, ökonomischen und gesellschaftlichen Fragen der Digitalisierung und darüber, wie Smart Data, Künstliche Intelligenz und digitale Plattformen sinnstiftend und unter Wahrung der digitalen Souveränität eingesetzt werden können.

Das Digital Autonomy Hub wird vom Bundesministerium für Bildung und Forschung im Rahmen des Forschungsprogramms „Miteinander durch Innovation“ gefördert und von Gesellschaft für Informatik e.V. und AlgorithmWatch umgesetzt. Mehr Informationen zum Hub finden Sie hier.

Luise Kranich, FZI Forschungszentrum Informatik © privat
Abbildung 1