Wer sich die Datennutzungserklärung von PayPal durchliest, findet darin eine lange Tabelle. Sie informiert ihn darüber, mit welchen Unternehmen PayPal zu welchen Zwecken welche Daten teilt. So erfährt er beispielsweise, dass Nuance Communications »Aufnahmen von ausgewählten Kundengesprächen, in denen Kontoinformationen im Gespräch genannt werden können« für die »Einstellung und Optimierung von Spracherkennungssystemen für den telefonischen Kundenservice« bekommt oder RSA Security »alle Kontoinformationen« zur »Identitätsprüfung«.

Diese Tabelle macht gut die Hälfte der ganzen Erklärung aus. Dass sie so lang ist, lässt sich ohne Datenkrakengeschrei damit erklären, dass sich PayPal wie jedes moderne Unternehmen einer Reihe von Dienstleistern bedient. Um den Kern seines Geschäfts kümmert man sich selbst, mit allem anderen beauftragt man Spezialisten, die es besser und günstiger können – gewöhnliche Arbeitsteilung, wie sie jeder betreibt, der einen Steuerberater, eine Reinigungskraft oder einen Handwerker beschäftigt.

Der formal korrekte Transparenzmechanismus einer solche Auflistung schafft jedoch nur wenig Verständnis dafür, was dort eigentlich geschieht und welche Auswirkungen es auf den Nutzer hat. Um mehr zu erfahren, müsste man die Firmen abklappern und sich jeweils das Geschäftsmodell anschauen. Das ist nicht praktikabel, und so vermittelt die lange Tabelle wenig nutzbare Information. Der Nutzer ist förmlich informiert, weiß aber doch nicht mehr.

Das Web funktioniert heute genauso arbeitsteilig. Hinter kaum einer Website steckt noch ein in sich geschlossener Dienst, ein einsamer Webserver mit Inhalten und Programmen drauf. Wer eine Website nutzt, interagiert mit einer umfangreichen Dienstaggregation, manchmal sichtbar, oft auch verdeckt. Ein Symptom ist die umfangreiche Keksmischung, die man vom Besuch mit nach Hause nimmt.

Der Datenschutz hat bislang keinen konstruktiven Umgang mit diesem Phänomen gefunden. Heftige Diskussionen entzünden sich zuweilen an einzelnen seiner Ausprägungen, etwa am Like-Button von Facebook oder an Google Analytics. Der organisierte Datenschutz behandelt diese Ausprägungen als Einzelfälle statt als Repräsentanten einer Grundsatzfrage, und diskutiert etwa die Behandlung von Google Analytics als Auftragsdatenverarbeitung oder die Anforderungen an eine wirksame Einwilligung vor dem Einblenden eines Like-Buttons.

Sinnvoller wäre, das grundsätzliche Problem zu diskutieren: Was müsste geschehen, damit Nutzer in einem komplizierten (und variablen) Gefüge miteinander vernetzter Dienste ein praktisches Verständnis der Datennutzung erwerben können? In welchen Situationen entstehen tatsächlich Risiken? Welche praktikablen Kontrollmechanismen stehen diesen Risiken gegenüber? Welches Verständnis ist überhaupt nützlich, weil es die Auswahl zwischen Handlungsmöglichkeiten unterstützt? Für die formale Datennutzungserklärung spielen solche Fragen keine Rolle. Sie dient nicht der Interaktion mit dem Nutzer, sondern der Beruhigung der Aufsicht.