Unter Selbstdatenschutz versteht man die durch den Einzelnen zum Schutz seines Rechts auf informationelle Selbstbestimmung ergriffenen technischen, organisatorischen und rechtlichen Maßnahmen. Dazu werden in erster Linie Verhaltensweisen des Einzelnen gezählt, möglichst wenig Ansatzpunkte für eine Erhebung seiner Daten zu bieten. Selbstdatenschutz bedeutet, die Gefahren hinsichtlich Datenschutz und Datensicherheit kennenzulernen und selbst aktiv Gegenmaßnahmen zu ergreifen.

So sollte etwa die Nutzung bestimmter Technikangebote, in denen elektronische Spuren erzeugt und lange gespeichert werden (insbesondere bargeldlose Zahlungsarten, Handytelefonie, E-Mails, Internetnutzung) eingeschränkt, an Online-Netzwerken und Online-Rollenspielen nicht teilgenommen, ausschließlich datenschutzfreundliche Technik genutzt, Telekommunikation verschlüsselt oder die Identität des Einzelnen mit dem Ziel eines Identitätsmanagements anonymisiert oder pseudonymisiert (z. B. Anonymisierung der Internetnutzung durch Dienste wie JAP oder Tor) werden. Auch die Eintragung in eine „Robinsonliste“ oder ähnliche Ausschlusslisten, die Nichtteilnahme an personenbezogenen Preisausschreiben oder die Nichteinwilligung in die weitere Übermittlung der eigenen Daten kann zu einem Selbstdatenschutzkonzept gehören. Ferner können auch die in den Datenschutzgesetzen geregelten Rechte des Betroffenen (unter anderem auf Auskunft oder Einsicht, Berichtigung, Löschung, Sperrung, Widerspruch, Schadensersatz sowie Anrufung der staatlichen Datenschutzbeauftragten) als Instrumente des Selbstdatenschutzes verstanden werden. Im Verhältnis zu Trägern öffentlicher Gewalt, also in bestehenden Unter-/Überordnungsverhältnissen (z. B. im Polizeirecht), stößt das Konzept des Selbstdatenschutzes allerdings sowohl an rechtliche (Mitwirkungspflichten oder -obliegenheiten; Datenerhebung bei Dritten etc.) als auch an tatsächliche Grenzen.

Insbesondere durch die weltweite Vernetzung durch das Internet gibt es in Bezug auf personenbezogene Daten neue Bedrohungen in bis dahin nie gekanntem Ausmaß. Problematisch ist an der Internettechnologie vor allem, dass sie bereits einen sehr hohen Komplexitätsgrad erreicht hat. Selbst einzelne Fachleute sind heute nicht mehr in der Lage, die gesamte Technik zu überblicken. Durch weitere Neuentwicklungen dieser Technik steigert sich die Komplexität ständig weiter.

In der Praxis lassen sich beispielsweise folgende Gefahren durch Selbstdatenschutz mindern:

• Beim Surfen gelangt ein Trojanisches Pferd auf den privaten PC eines Internetnutzers. Dieser hat weder Antivirensoftware installiert, noch wird der PC regelmäßig mit einem anderen Programm untersucht, das Spyware erkennen kann. Dieser PC kann nun aus der Ferne komplett überwacht und sogar ferngesteuert werden. Es gibt im Netz sogar Tools, die automatisch nach solchen mit trojanischen Pferden infizierten PCs (sogenannten Zombies) suchen.
• Ein Kläger kommuniziert per E-Mail mit seinem Anwalt. Der Beklagte hat sich Zugriff auf die Zugangsdaten des Mailkontos verschafft. Dieser kennt nun im Voraus jeden geplanten Schritt des Klägers und weiß um die möglichen Konsequenzen seines Verhaltens. Weder der Kläger noch deren Anwalt ahnen, dass der Prozessgegner genau informiert ist.
• Im Rahmen von Neueinstellungen werfen Personalchefs oft einen Blick in diverse Soziale Netzwerke. Viele Bewerber machen sich nicht klar, dass die Veröffentlichung von unvorteilhaften Inhalten deshalb die Erfolgschancen einer Bewerbung senken kann.
• Vorsicht ist auch geboten bei der Nutzung von Internetzugängen in Hotels, Restaurants, an Bahnhöfen etc. Diese sind selbst in den seltensten Fällen verschlüsselt, auch wenn man sich zur Nutzung anmelden muss. Überträgt man dann die eigenen Anmeldedaten für den Zugang zu Internetseiten oder dem eigenen E-Mail-Konto unverschlüsselt, erlaubt man auch einem Angreifer den Zugriff auf diese Accounts – das ist noch immer häufig der Fall.
• Ein junger Mann bewirbt sich um eine Anstellung bei einem international tätigen Unternehmen. Dieses Unternehmen arbeitet mit einer illegal tätigen Auskunftei zusammen. Durch gezieltes Phishing, Pharming und Spoofing werden alle webbasierten Accountdaten der Zielperson verdichtet und ausgewertet. Dabei stellt sich heraus, dass die Zielperson bei einem Kontaktportal ein schwules Profil unterhält, aufgrund psychischer Probleme mehrere Anfragen an webbasierte Onlineberatungen gerichtet hat und es zu regelmäßigen Kontoüberziehungen kommt. Bei einem Internet-Auktionshaus tritt die Zielperson durch regelmäßiges Aufkaufen von Münzen und Second-Hand-Jeans in Erscheinung. Die verdichteten Profildaten reichen der zuständigen Personalabteilung aus, um die eingereichte Bewerbung negativ zu bescheiden. (Kommentar: Die genannten aktiven Angriffe sind keine notwendige Voraussetzung für die Korrelation personenbezogenener Daten der Zielperson aus unterschiedlichen Quellen. Im Besonderen ist davon auszugehen, dass die beispielhaft aufgeführten personenbezogenen Daten nicht durch diese Angriffe erfasst und gespeichert wurden.)

Die meisten Verbraucher kennen die Gefahren nicht, die damit verbunden sind, persönliche Daten herauszugeben. Erschwerend kommt hinzu, dass die meisten Internetnutzer der fälschlichen Meinung sind, das Internet wäre anonym. Sie sind sich der Bedrohungen eines in Wirklichkeit „offenen Netzes“ nicht bewusst. Besonders so genannte Social-Networking-Plattformen verführen ihre Mitglieder dazu, private Interessen und Ansichten öffentlich zu machen.^[1]

Kryptografie findet in der Internetkommunikation noch wenig Anwendung. Dies liegt vor allem daran, dass den Anwendern die Gefahren oft nicht bewusst sind und dass sie den Umgang mit Verschlüsselungstechnik nicht gelernt haben. Dies ist vor allem bei E-Mails problematisch.

In einer Informationsgesellschaft bedarf es daher der Aufklärung und entsprechender Bildungskonzepte, die Bürgern und Verbrauchern helfen, sich auch beim Surfen im WWW und erst recht bei finanziellen Transaktionen im Internet zu schützen. Für einen angemessenen Selbstdatenschutz ist also notwendig, dass sowohl verlässliche Informationen bereitgestellt als auch Techniken zum Schutz der persönlichen Daten entwickelt werden. Nur wenn das Wissen der Nutzer und die technischen Lösungen der Komplexität der Technik gerecht werden, können die Risiken wirksam minimiert werden.

Staatliche Datenschutz-Institutionen wie das ULD in Kiel, aber auch privatrechtliche Vereine und Verbände stellen diesbezüglich Informationen und Open-Source-Software zur Verfügung, so dass auch EDV-Laien sich selbst vor den Gefahren im Informationszeitalter effektiv schützen können.

• GNU Privacy Projekt (GnuPP)
• Platform for Privacy Preferences (P3P)

• Sicher im Internet: Infos des Datenschutzzentrums ULD
• Der gläserne Mensch, Datenschutzseite
• „Sicherheit im Internet“ – Datenschutz- und Datensicherheitsrisiken erkennen und minimieren, Verbraucherzentrale Bundesverband e.V. (PDF-Datei; 396 kB)
• Stiftung Datenschutz – Eine von der Bundesrepublik Deutschland gegründete Stiftung zur Stärkung des Datenschutzes

1. ↑ vgl. Digitaler Tabledance, in: die tageszeitung, 30. März 2007