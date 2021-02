Herr Stegemann, Welche Daten geben Sie selbst heraus? Und achten Sie dabei darauf, wer sie anfragt?

Thomas Stegemann: Das ist bei mir gar nicht viel anders, wie bei anderen Menschen. Wenn es notwendig ist, gebe ich natürlich Daten von mir Preis. Das beginnt beim Onlinekauf mit Namen, der Anschrift und eventuell Bankdaten – wobei ich hier auch gerne auf Dienste zurückgreife, die eine gewisse Sicherheit beim Kauf garantieren. Ich schaue mir genauer an, wer meine Daten haben möchte – und wenn es für den Zweck nicht notwendig ist, gebe ich sie auch nicht raus. Beispielsweise mein Geburtsdatum, das wird immer noch häufig und unnötigerweise abgefragt.

Zur Person: Thomas Stegemann Thomas Stegemann ist 1974 geboren und externer Datenschutzbeauftragter. 2003 hat er ein IT Systemhaus gegründet. Im Jahr 2012 folgte die Gründung des Datenschutzunternehmens dacuro GmbH.

2020 ist das Unternehmen in neue Büroräume in der Otto-Hahn- Straße 3 nach Walldorf gezogen. Im Februar 2021 wird ein Standort in Hamburg eröffnet.

Stegemann engagiert sich in unterschiedlichen Netzwerken und Vereinen – unter anderem im Gewerbeverein Walldorf, BNI, Lions-Club, BUND und IHK Prüfer.

Mit Miriam Hohmann und dem Modegeschäft lyksjø aus Schwetzingen ist er gemeinsam für den Schutz der Wildbienen aktiv.

Und wissen Sie dann immer, was mit diesen Daten passiert?

Stegemann: Ich vertraue darauf, dass die Daten für den Zweck verwendet werden, für den ich sie angegeben habe. Natürlich kann ich aber nicht wissen, ob dies immer der Fall ist. Kommt mir hier im Zuge der Angabe der Daten aber etwas komisch vor – fehlende Informationen, oder die Frage nach Daten, die nicht notwendig sind –, verzichte ich aber auch schon mal auf die Nutzung einer App, den Kauf eines Produkts oder die Anmeldung bei einem Anbieter.

Welche Daten sind am wertvollsten – und warum?

Stegemann: Die Antwort wird, je nachdem, wem man die Frage stellt, unterschiedlich ausfallen: Generell sind die Daten am wertvollsten, mit denen am meisten Geld verdient werden kann. Das kann dann auch schon einfach das Kaufverhalten sein. Sinnvoll ist sicher der Schutz der Daten, die zur Identifikation oder Zahlung genutzt werden können. Als Datenschutzbeauftragte unterscheiden wir den Schutzbedarf der personenbezogenen Daten und Kategorisieren in „frei zugänglich“, also beispielsweise Telefonbücher bis hin zu Daten, deren unsachgemäße Handhabung den Betroffenen in seiner Existenz (gesellschaftliche Stellung oder wirtschaftliche Verhältnisse) beeinträchtigen könnte: Beispielsweise Gesundheitsdaten, Schulden, Straffälligkeit…

Wer hat Interesse an Daten? Und was könnte schlimmstenfalls mit ihnen passieren – Stichwort: Darknet?

Stegemann: Das Darknet ist hier gar nicht mal im Fokus. Interesse an Daten hat erst einmal jeder, der diese zu seinem Nutzen einsetzen kann. Das beginnt beim Onlineshop, der das Kaufverhalten analysiert und so zu weiteren Käufen animieren kann. Weiter geht es mit der App, die die Adresse der Nutzer kennt, den Arbeitsweg und das bevorzugte Restaurant. Und es endet leider nicht bei demjenigen, der die Bankverbindung ausspäht, oder das Onlineshop-Kennwort und damit einkaufen geht. Schlimmstenfalls geraten gerade diese Daten (Personalausweiskopie, Bankverbindung) in die falschen Hände. Im letzten Jahr wurden in Finnland hunderte Patientenakten in einem Psychotherapiezentrum erbeutet und die Betroffenen Patienten erpresst.

Was raten Sie den Menschen? Eher übervorsichtig mit den Daten sein – oder die Vorteile nutzen, wenn man sie angibt?

Stegemann: Eine gewisse Vorsicht schadet nicht, aber man muss es auch nicht übertreiben. Die Anbieter im Internet etwas genauer zu betrachten und vielleicht auch einmal kurz recherchieren, ob es hier schon negative Erfahrungen gibt. Ich schaue da ins Impressum. Wer steht da drin und an welchem Ort sitzt das Unternehmen? Bei kostenfreien Angeboten, die nur aufgrund der Angabe von personenbezogenen Daten freigeschaltet werden, bin ich immer skeptisch: Hier wird das Geld in der Regel mit den erhaltenen Daten verdient. „Wenn ein Produkt nichts kostet, bin vielleicht ich das Produkt“. Diesen Satz habe ich zu Beginn meiner Tätigkeit als Datenschutzbeauftragter einmal gehört und der hat sich eingeprägt.

Wann sollten die Menschen misstrauisch werden?

Stegemann: Wenn Daten erfragt werden, die nicht benötigt werden, um die Dienstleistung zu erbringen. Wenn kein Impressum oder keine Datenschutzerklärung vorhanden ist.

Wie werden wir ausgetrickst, um Daten herzugeben?

Stegemann: Wenn sich ein Unternehmen an die Regeln hält, merkt man recht schnell, wann Daten preisgegeben werden – Stichwort „Cookie Banner“. Natürlich macht das nicht jeder richtig (oft auch durch Unwissen) und dann geben wir mehr Daten preis, als uns bewusst ist. Häufig stimmen wir der Auswertung zu, um ein paar Kundenpunkte, Bonussternchen oder andere Kundenkarteien mit Daten zu füttern. Wenn wir irgendwo Rabatte sehen, fällt das vielen Menschen um einiges leichter. Da werden für Centbeträge Daten erhoben, wie alt der Nutzer ist, wo er wann was einkauft und Kaufentscheidungen mit Extrarabatten beeinflusst wurden. Ich stelle mir hier häufig die Frage, ob den Kunden immer so bewusst ist, was damit alles gemacht werden kann? Treiben wir es auf die Spitze: Kaufe ich einen Schwangerschaftstest, kann ich im Anschluss Rabatte für spezielle Vitaminpräparate bis hin zu Windeln oder Wundcremes einige Monate später anbieten.

Was hat sich 2018 geändert - und warum?

Stegemann: Seit dem Mai 2018 gilt europaweit die EU Datenschutzgrundverordnung (EU DSGVO). Ziel ist, dass der Umgang mit personenbezogenen Daten europaweit gleich gehandhabt wird. Datenschutz ist ein Grundrecht geworden, an dem man alle Prozesse messen muss. Nun müssen sich auch Unternehmen, die ihren Sitz außerhalb der EU haben, an die DSGVO halten, wenn sie Geschäfte in der EU machen möchten. Dies war vorher nicht so.

Was halten Sie von den neu eingeführten „Cookies“ – ist das ein Sieg?

Stegemann: Ich finde es erstmal prima. Dadurch wird der Nutzer darauf hingewiesen, dass etwas passiert. Cookies sind ja nichts anderes als kleine Textdateien in denen Informationen über mich stehen. Aber sie ploppen überall auf, was schon wieder nervig ist. Mein Wunsch wäre, wenn Menschen hinterfragen, ob sie die Dienste wirklich benötigen – und lieber dafür dann mit Geld bezahlen, statt mit ihren Daten.

Reicht diese Datenverordnung zum Schutz auch in Zukunft?

Stegemann: Gesetze werden so formuliert, dass sie möglichst lange Bestand haben. Wir haben bereits jetzt strengere Anforderungen an die Verarbeitung von personenbezogenen Daten, wenn diese automatisiert, oder von Künstlicher Intelligenz unterstützt verarbeitet werden.

Was ist, wenn Menschen denken, sie haben zu viele Daten preisgegeben – was können sie tun?

Stegemann: Der erste Schritt ist das Auskunftsersuchen bei dem Verantwortlichen, also demjenigen, der die Daten hat. Hier gibt es gute Vorlagen, so auch beim Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg, die man nur noch ergänzen muss. Sollte darauf nicht geantwortet werden, kann man sich bei der zuständigen Aufsichtsbehörde (ebd LfDI) beschweren. Dann kommt meist Bewegung in die Sache. Ich kann die Löschung der Daten fordern – allerdings nur diejenigen, die nicht mehr notwendig sind. Rechnungen müssen natürlich noch aufbewahrt werden, solange es notwendig ist. Bin ich bei einem unseriösen Anbieter gelandet, der vielleicht nicht einmal eine korrekte Anschrift hat, wird es schwieriger. Daher unbedingt so etwas möglichst vorher prüfen.

Was denken Sie über die Datenverbreitung in den sozialen Medien? Worauf sollten Nutzer achten?

Stegemann: Ich möchte die sozialen Medien nicht verteufeln, nutze sie ja teilweise selbst. Aber es gibt Dienste, bei denen ich keine Fotos von Personen (nicht einmal meine eigenen) hochlade, oder alle Funktionen nutze. Ich kann da eigentlich nicht viel Neues empfehlen: Keine Kinderbilder posten, keine Bilder während des Urlaubs online stellen. Muss das öffentlich geteilt werden, oder reicht nicht eine Nachricht an Familienmitglieder?

Wie kann man vertrauliche Daten besonders gut sichern und schützen?

Stegemann: Ein Passwort, das komplex genug ist, ist ein guter Anfang. Sicherer sind aber die immer verbreiteteren Zwei-Faktor-Authentifizierungen: Sie möchten sich einloggen und geben dazu Benutzernamen und Passwort ein. Mit dem Login erhalten Sie einen Code per SMS, den Sie dann noch zusätzlich eingeben müssen. Oder Sie müssen den Zugriff in der App bestätigen. Das ist eine gängige Methode, die das Onlinegeschäft sicherer macht.

Was kann ich machen, wenn ich irgendwo ein Bild von mir finde, das zu Unrecht genutzt wurde?

Stegemann: Ich habe das Recht auf die Löschung von meinen personenbezogenen Daten – damit auch auf Löschung von solchen Bildern. Im ersten Schritt eventuell bei der veröffentlichenden Person die Löschung fordern. Kommt sie dem nicht nach, den Anbieter auffordern (viele Social Media Anbieter haben hier mittlerweile direkt eine Meldefunktion).