Zum Inhalt springen
Alle Beiträge anzeigen

Die Aufhebung der Breitband-Datenschutzregeln der FCC; wird es halten?

Am Montag, dem 3. April, unterzeichnete US-Präsident Donald Trump eine Aufhebung der im letzten Jahr von der Federal Communications Commission (FCC) vorgelegten Regelung zum Schutz der Datenschutz von Kunden von Breitband- und Telko-Diensten. Die Regel, das im letzten Jahr verabschiedet wurde und in Kürze in Kraft treten sollte, hätte Internetanbieter wie AT&T, Verizon und Comcast dazu verpflichtet, die ausdrückliche Zustimmung ihrer Kunden einzuholen, bevor sie deren Webverläufe und persönliche Internetverhaltensprofile verkaufen.

Nun besteht für ISPs eine Lücke im regulatorischen Datenschutz. Gleichzeitig haben sie uneingeschränkten Zugriff auf Kundeninformationen. Im Gegensatz zu Online-Werbeplattformen (die über die Sicherheitseinstellungen des Browsers blockiert werden können) haben ISPs Einblick in die Verbraucher persönliche Daten wie Standort, Geräte-ID, Browseraktivität, Online-Telefonaktivität (VoIP), Einkäufe, Medienkonsum, ohne dass der Verbraucher seine Privatsphäre schützen kann. ISPs können diese Informationen mit Rechnungs- und Postadressen aus früheren Online-Bestellungen aller ihrer Kunden verknüpfen, was ein finanzielles Risiko birgt, falls diese Informationen in die falschen Hände geraten.

Diese Daten sind eine wahre Goldgrube für die ISPs, da sie für gezielte Werbung auf der Grundlage bevorzugter Medien, Online-Einkaufsverhaltens, Standorts usw. verwendet werden können. Aus offensichtlichen Gründen können ISPs diese Informationen dann an Unternehmen und Werbefirmen verkaufen.

Eine scheinbar einfache Lösung besteht darin, Nutzern eine Opt-out-Option anzubieten. Das Einholen von Einwilligungen und die Berücksichtigung spezifischer Anfragen würde jedoch strenge Kontrollen darüber erfordern, wessen Daten wo gespeichert werden, damit sie bei Bedarf gelöscht werden können. Zudem wären die Kosten für die enormen Datenmengen und die Implementierung relativ neuer Technologien zum Schutz der Privatsphäre exorbitant.

Diese Ausnahmeregelung und die damit verbundene eingeschränkte Transparenz bei den ISPs werfen interessante Fragen auf. Neben der offensichtlichen Verletzung des Grundrechts auf Privatsphäre und der Inkonsistenz der Anforderungen in verschiedenen Branchen und sogar innerhalb der Kontrolle der FTC ergeben sich eine Reihe weiterer Implikationen:

  • Sie müssen ihre Daten kennen – Obwohl sich Internetanbieter offiziell zum Schutz unserer Privatsphäre verpflichtet haben und dies auch öffentlich bekunden, stellt der Mangel an Kontrolle und Transparenz für Verbraucher die Verantwortung für angemessene Kontrollen in Frage. Wenn Verbraucher die Erfassung ihrer Daten nicht verhindern können, kann der Internetanbieter sie dann wirklich kontrollieren? Man muss seine Daten kennen, um sie schützen zu können. Wenn die Kosten für die Einhaltung dieser neuen Regelung so hoch sind wie vom Internetanbieter behauptet, welche Garantien gibt es dann, dass die aktuellen Kontrollen für den Datenschutz ausreichen?
  • Datenherkunft — ISPs sind in vielen Geschäftsbereichen tätig, viele davon über kabelgebundene, drahtlose und Online-Kanäle. Über verschiedene Kanäle – vom Mobiltelefon bis hin zu Medienanwendungen – kommen Verbraucherdaten auf vielfältige Weise in Berührung. Kann ein ISP die aus diesen verschiedenen Kanälen gesammelten Daten wirklich trennen und Zustimmungskontrollen nur auf einen Kanal anwenden, nicht aber auf den anderen? Wie kann er garantieren, dass Informationen aus einer Medienanwendungsanzeige, die den Zustimmungsregeln der FCC unterliegen, nicht mit ISP-Informationen kombiniert werden, für die dies nicht gilt? Können ISPs die Herkunft der Daten nachweisen, um eine echte Trennung zu belegen?
  • Anonymisierung — Die ISPs behaupten, dass die von ihnen verkauften Informationen anonymisiert seien. Das heißt, sie könnten nicht zur Rückverfolgung bestimmter Personen verwendet werden. Doch wie können sie angesichts der enormen Datenmengen und der Rechenleistung der heutigen Cloud-Infrastruktur sicherstellen, dass die Daten nicht wieder identifizierbar sind?
  • DSGVO — Der Mangel an Datenschutzkontrollen für Internetanbieter in den USA steht in krassem Gegensatz zur neuen Datenschutz-Grundverordnung (DSGVO) der EU, die strenge Anforderungen an die Rechte und Einwilligung der betroffenen Personen stellt. Diese neuen Regeln, die im Mai 2018 in Kraft treten, gelten für alle Unternehmen, die Daten von EU-Bürgern speichern. US-amerikanische Internetanbieter sind zwar nicht verpflichtet, die Zustimmung der FCC einzuholen, müssen sich aber möglicherweise gegenüber den europäischen Datenschutzbehörden verantworten, da sie verpflichtet sind, Daten von EU-Bürgern, die in die USA reisen, zu speichern.
  • Unternehmen legen Wert auf Datenschutz Unternehmen legen besonderen Wert auf die Privatsphäre ihrer Mitarbeiter und vor allem auf die Vertraulichkeit ihrer Geschäftstätigkeit. Sie möchten nicht, dass die Aktivitäten ihrer Führungskräfte verfolgt oder ihr Browserverlauf im Hinblick auf die Geschäftsentwicklung profiliert wird. Während Einzelpersonen nur begrenzten Einfluss haben, verfügen große Unternehmen über deutlich mehr Einfluss und könnten Dinge fordern, die Einzelpersonen möglicherweise nicht erreichen können.

Auch wenn die Rücknahme dieser wichtigen Regelung für Datenschützer enttäuschend sein mag, können sie sicher sein, dass dieses Neuland nicht lange aufrechterhalten werden kann. Das Datenschutzbewusstsein der Verbraucher wächst, und der Schutz von Internetnutzern vor kommerzieller und staatlicher Überwachung sollte ein parteiübergreifendes Ziel sein. Datenschutzbestimmungen nehmen weltweit zu (z. B. die neue DSGVO, die Datenschutzbestimmungen Großbritanniens, Russlands und Chinas) und insbesondere in den USA, einschließlich bundesstaatlicher Gesetze und FTC-Richtlinien. Die FCC erklärte: „Vorsitzender Pai ist überzeugt, dass der beste Weg zum Schutz der Online-Privatsphäre amerikanischer Verbraucher ein umfassender und einheitlicher Regulierungsrahmen ist.“ Nächste Schritte? Die FCC muss sich für eine allgemeine US-Datenschutzverordnung einsetzen.