Datenschutz: Was wirklich mit unseren Daten passiert

Rund 75 Prozent der deutschen Internetnutzer geben an, sich um den Schutz ihrer persönlichen Daten zu sorgen — doch nur ein Bruchteil weiß, was mit diesen Daten tatsächlich geschieht. Die Heise-Show hat in ihrer jüngsten Episode Datenschutz im Jahr 2024 unter die Lupe genommen und dabei offen ausgesprochen, was viele deutsche Datenschutzbehörden zwar andeuten, aber selten klar benennen: Das bestehende Regelwerk schützt Verbraucher weniger effektiv, als es verspricht.

Was mit unseren Daten wirklich passiert

Der Begriff „Datenschutz" klingt beruhigend — er suggeriert eine Art digitalen Tresor, in dem persönliche Informationen sicher verwahrt werden. Die Realität ist deutlich unordentlicher. Wenn ein Nutzer eine App öffnet, eine Website besucht oder ein smartes Haushaltsgerät einschaltet, beginnt im Hintergrund ein komplexes Geflecht aus Datenerhebung, -weitergabe und -verarbeitung, das für die meisten Menschen vollständig unsichtbar bleibt.

Apps erheben Standortdaten, auch wenn sie gerade nicht aktiv genutzt werden. Websites setzen Tracker ein, die das Surfverhalten über Dutzende von Plattformen hinweg verfolgen. Smarte Fernseher senden Nutzungsprofile an Werbedienstleister. Sprachassistenten speichern Audiofragmente auf Unternehmensservern. All das ist nicht zwingend illegal — und genau darin liegt das eigentliche Problem.

Die Lücken der DSGVO

Die Datenschutz-Grundverordnung, kurz DSGVO, gilt seit ihrem Inkrafttreten als Meilenstein des europäischen Datenschutzrechts. Sie verpflichtet Unternehmen dazu, Nutzerdaten nur mit ausdrücklicher Einwilligung zu erheben, gibt Verbrauchern das Recht auf Auskunft und Löschung und sieht empfindliche Strafen für Verstöße vor. Klingt gut — ist es teilweise auch. Aber die Heise-Show-Episode macht deutlich, wo das System an seine Grenzen stößt.

Das größte strukturelle Problem ist das Einwilligungsmodell selbst. Nutzer werden täglich mit Cookie-Bannern, langen Datenschutzerklärungen und Opt-in-Formularen konfrontiert. Wer diese tatsächlich liest, braucht nach Berechnungen des norwegischen Forschungsinstituts Forbrukerrådet etwa 76 Arbeitstage pro Jahr allein für die Lektüre aller Datenschutzerklärungen, mit denen er in Kontakt kommt. In der Praxis klickt die große Mehrheit auf „Akzeptieren" — nicht aus Überzeugung, sondern aus Erschöpfung. Fachleute nennen dieses Phänomen „Consent Fatigue", also eine Art Einwilligungsmüdigkeit.

Hinzu kommt das Problem der sogenannten Dark Patterns: Designtricks, bei denen der „Alles ablehnen"-Button bewusst schwerer zu finden ist als „Alle akzeptieren". Grau eingefärbt, drei Untermenüs tief versteckt oder mit irreführenden Formulierungen versehen — diese Praktiken verstoßen zwar formal gegen die DSGVO, werden aber von Aufsichtsbehörden nur selten konsequent verfolgt (Quelle: Bitkom).

Datenweitergabe: Das unsichtbare Ökosystem

Selbst wenn ein Nutzer der Datenerhebung durch eine einzige App zustimmt, bedeutet das nicht, dass seine Daten nur dort bleiben. Der Markt für Nutzerdaten ist ein voll ausgebildetes Ökosystem mit spezialisierten Akteuren: Datenbrokern, die Informationen aufkaufen und bündeln; Adtech-Unternehmen, die aus diesen Daten Werbeprofile erstellen; und Plattformen, die diese Profile in Echtzeit an Werbetreibende versteigern — ein Prozess, der als Real-Time Bidding (RTB) bezeichnet wird und bei dem eine Auktion um den Werbeplatz auf Ihrer Bildschirmseite oft in weniger als 100 Millisekunden abläuft.

Was während dieser Auktion passiert, ist aus Verbraucherperspektive beunruhigend: Ihr Nutzerprofil — Alter, Standort, Surfverhalten, mögliche Gesundheitsinteressen, politische Präferenzen — wird an potenziell Hunderte von Bietern übermittelt. Die Datenschutzbehörden mehrerer EU-Länder haben RTB als grundsätzlich unvereinbar mit der DSGVO eingestuft. Vollständig abgestellt wurde das System bislang nicht (Quelle: IDC).

Dieser Kontext ist auch für die Debatte rund um KI und Jobs in Deutschland relevant: Viele der KI-Systeme, die heute Arbeitsprozesse automatisieren, wurden mit Datensätzen trainiert, deren Herkunft und datenschutzrechtliche Grundlage nicht immer transparent ist.

Big Tech und die Datenmacht

Alphabet (Google), Meta (Facebook, Instagram, WhatsApp) und Amazon verfügen über Datenmengen, die keine staatliche Behörde der Welt annähernd erreicht. Google kennt die Suchanfragen, Standorte, E-Mails und Kalendereinträge von Milliarden Menschen. Meta analysiert soziale Verbindungen, emotionale Reaktionen und politische Haltungen. Amazon weiß, was Menschen kaufen, wann sie zu Hause sind und — dank Alexa — was in ihren Wohnungen gesprochen wird.

Das ist kein Verschwörungsnarrativ, sondern Geschäftsmodell. Diese Unternehmen finanzieren sich mehrheitlich über zielgerichtete Werbung, die ohne detaillierte Nutzerprofile nicht funktioniert. Das Produkt ist nicht die App oder der Dienst — das Produkt ist die Aufmerksamkeit, die mit Nutzerdaten präzise gesteuert wird. Gartner beschreibt dieses Modell als „Surveillance Capitalism 2.0", bei dem KI-gestützte Systeme Nutzerdaten in Echtzeit auswerten, um Verhalten vorherzusagen und zu beeinflussen.

Auch im Unternehmensumfeld entstehen neue Datenschutzfragen, etwa durch den Einsatz von KI-Tools im Büro. Die Diskussion darüber, welche Arbeitnehmerdaten durch Tools wie Microsoft 365 Copilot im Büroalltag erfasst und verarbeitet werden, ist noch längst nicht abgeschlossen.

Datenschutz in der Praxis: Was Verbraucher tun können

Die ernüchternde Nachricht lautet: Vollständige Datenvermeidung ist im digitalen Alltag praktisch unmöglich. Wer ein Smartphone benutzt, soziale Netzwerke nutzt oder online einkauft, hinterlässt digitale Spuren — unabhängig davon, wie vorsichtig er vorgeht. Das bedeutet jedoch nicht, dass Verbraucher vollständig machtlos sind.

Technische Maßnahmen wie der Einsatz eines VPN (Virtual Private Network — ein Dienst, der die eigene IP-Adresse verschleiert und den Datenverkehr verschlüsselt), datenschutzfreundlicher Browser wie Firefox oder Brave, sowie die konsequente Nutzung von Tracker-Blockern können die Datenmenge erheblich reduzieren, die an Werbenetzwerke fließt. Wer seine Suchmaschine auf DuckDuckGo oder Startpage umstellt, verhindert zumindest die profilbasierte Auswertung von Suchanfragen durch Google.

Auf rechtlicher Ebene haben Verbraucher in der EU das Recht, bei jedem Unternehmen, das ihre Daten verarbeitet, eine vollständige Auskunft zu beantragen. Dieses Auskunftsrecht ist in Artikel 15 der DSGVO verankert. In der Praxis freilich reagieren viele Unternehmen auf solche Anfragen zögerlich oder unvollständig — was wiederum einen Beschwerdeweg bei den Landesdatenschutzbehörden eröffnet (Quelle: Statista).

Die Rolle der Aufsichtsbehörden

Die deutschen Datenschutzbehörden — auf Landesebene organisiert, koordiniert durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden — gelten im europäischen Vergleich als vergleichsweise aktiv. Die Bußgelder, die in Deutschland verhängt wurden, haben jedoch selten die strukturelle Durchschlagskraft, die nötig wäre, um Geschäftsmodelle grundlegend zu verändern. Ein Bußgeld in Millionenhöhe ist für ein Unternehmen wie Meta, das täglich Milliarden umsetzt, ein kalkulierbares Betriebsrisiko.

Effektiver sind systemische Entscheidungen, wie etwa das irische Bußgeld gegen Meta in Höhe von 1,2 Milliarden Euro im Zusammenhang mit dem transatlantischen Datentransfer — der bislang höchste DSGVO-Bescheid in der Geschichte der Verordnung. Solche Entscheidungen zeigen, dass das Regelwerk prinzipiell Zähne hat. Ob diese Zähne konsequent eingesetzt werden, hängt jedoch von politischem Willen und Behördenkapazitäten ab, die in vielen Bundesländern begrenzt sind (Quelle: Bitkom).

Neue Technologien, neue Risiken

Während die DSGVO noch mit den Herausforderungen der Smartphone-Ära ringt, wirft die nächste Technologiewelle bereits ihre Schatten voraus. Künstliche Intelligenz verarbeitet Nutzerdaten in einem Ausmaß und einer Geschwindigkeit, die herkömmliche Datenschutzmodelle überfordern. Große Sprachmodelle wie GPT-4 oder Gemini wurden mit riesigen Mengen an Textdaten trainiert, deren urheberrechtliche und datenschutzrechtliche Grundlage in mehreren EU-Ländern gerichtlich überprüft wird.

Gesichtserkennung im öffentlichen Raum, biometrische Authentifizierung und das sogenannte Ambient Computing — bei dem vernetzte Geräte kontinuierlich die Umgebung erfassen — stellen das Prinzip der informationellen Selbstbestimmung vor grundlegende Fragen. Wer in einer Stadt mit flächendeckender Kameraüberwachung lebt, kann seine Anwesenheit im öffentlichen Raum nicht mehr datenschutzrechtlich „opt-outen".

Diese Entwicklung berührt auch die Frage, wie Unternehmen KI einsetzen. Der Einsatz von KI in deutschen Unternehmen ist längst kein Zukunftsszenario mehr — und damit rückt die Frage, welche Mitarbeiter- und Kundendaten dabei fließen, ins Zentrum betrieblicher Datenschutzpraxis.

Selbst in scheinbar datenfremden Bereichen wie der Gaming-Branche entstehen neue Datenschutzfragen: Wenn KI-gestützte NPCs in Spielen auf das Verhalten einzelner Spieler reagieren und lernen, werden zwangsläufig Verhaltensdaten erhoben und verarbeitet — oft ohne dass Spieler sich dessen bewusst sind.

Infrastruktur als Datenschutzfaktor

Ein wenig beachteter Aspekt der Datenschutzdebatte ist die Netzinfrastruktur selbst. Der Übergang zu neuen Mobilfunkgenerationen verändert nicht nur Übertragungsgeschwindigkeiten, sondern auch die Art, wie Metadaten erhoben werden. Die Abschaltung älterer Netzstandards — wie sie etwa bei A1 Telekom Austria mit dem Ende des 2G-Standards vollzogen wurde — schafft technische Grundlagen, auf denen neue, datenhungrigere Dienste aufgebaut werden.

Gleichzeitig entstehen durch Konsolidierungen im Telekommunikationsmarkt neue Machtkonzentrationen: Wenn größere Anbieter kleinere Konkurrenten übernehmen, wie im Fall der Vodafone-Übernahme von Three, entstehen Akteure mit Zugang zu den Verbindungsdaten von Millionen zusätzlichen Nutzern — ein Umstand, der von Datenschützer aufmerksam beobachtet wird.

Was bleibt

Die Heise-Show-Episode trifft einen wunden Punkt: Datenschutz im digitalen Zeitalter ist kein technisches, sondern ein politisches und gesellschaftliches Problem. Die Regeln existieren, die Behörden existieren, das Bewusstsein wächst — und dennoch bleibt die strukturelle Asymmetrie bestehen: Wenige, mächtige Akteure verfügen über die Daten der vielen, und die meisten Menschen haben weder die Zeit noch die technischen Werkzeuge, um das in vollem Umfang zu verstehen oder gar zu verändern.

Was gebraucht wird, ist eine Kombination aus schärferer Durchsetzung bestehender Regeln, technologischer Grundkompetenz in der Bevölkerung und einer politischen Bereitschaft, datengetriebene Geschäftsmodelle dort zu begrenzen, wo sie mit den Grundrechten kollidieren. Bis das erreicht ist, bleibt Datenschutz in erster Linie eine Frage persönlicher Wachsamkeit — und struktureller Ungleichheit.