Tag Archives: Big Data

Datenreichtum statt Datensparsamkeit?

Beim diesjährigen „Nationalen IT-Gipfel“, der am 16. und 17. November 2016 in Saarbrücken stattfindet, geht es auch um die Zukunft des Datenschutzes. Zeitgleich mit der Europäischen Datenschutzreform, die den Schutz der Privatsphäre und der personenbezogenen Daten verbessern soll, wird von Politikern und Unternehmensverbänden das im deutschen und europäischen Datenschutzrecht verankerte Prinzip der „Datensparsamkeit“ unter Beschuss genommen.

Schon in den zum IT-Gipfel 2015 vom Bundesministerium für Wirtschaft und Energie zum IT-Gipfel 2015 veröffentlichten „Leitplanken Digitaler Souveränität“ warnte das Bundeswirtschaftsministerium davor, datenbasierte digitale Geschäftsmodelle würden „durch ein unzeitgemäßes Datensparsamkeitsdiktat verhindert … Bisherige Grundprinzipien des Datenschutzes wie Datensparsamkeit und Zweckbindung müssen überprüft und durch Prinzipien der Datenvielfalt und des Datenreichtums ergänzt und ersetzt werden.“

Im Vorfeld des diesjährigen IT-Gipfels sehen manche PolitikerInnen gar den Wohlstand  unserer Gesellschaft gefährdet, sollten wir an dem Konzept der „Datensparsamkeit“ festhalten:. „Wer Datensparsamkeit predigt, riskiert nicht nur wirtschaftlichen Stillstand und gefährdet damit unseren Wohlstand, sondern er verhindert auch neue Entwicklungen zum Wohle der Menschen“, zitiert etwa das Handelsblatt die stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Nadine Schön.

Nun ist der Begriff „Datensparsamkeit“ – genauso wie sein Pendant „Datenreichtum“ – durchaus ambivalent. Zum einen handelt es sich dabei nicht wirklich um Gegensätze, denn die Negationen von Sparsamkeit sind – positiv – Großzügigkeit oder – negativ – Verschwendung. Und das Gegenteil von Reichtum ist Armut. Ob Sparsamkeit eine Tugend ist, wie sie der schwäbischen Hausfrau zugeschrieben wird, oder aber in ihrer übersteigerten Form im Sinne von Geiz  eine der sieben Todsünden, mag dahingestellt bleiben.

Bei genauerer Betrachtung zeigt sich, dass hier ein Popanz aufgebaut wird, um den ohnehin löcherigen Schutz personenbezogener Daten weiter abzusenken. § 3a Bundesdatenschutzgesetz verpflichtet die für die Datenverarbeitung verantwortlichen Stellen dazu, die Ausrichtung der Auswahl, der Gestaltung und des Betriebs von Datenverarbeitungssystemen an der Maxime auszurichten, „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“. Insbesondere sind die Daten zu anonymisieren oder zu pseudonymisieren, „soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“

Datenüberfluss

Das empirisch belegte „Moore’sche Gesetz“, wonach sich die Leistungsfähigkeit der IT-Komponenten alle 18 bis 24 Monate verdoppelt, legt nahe, dass die technologische Realität von immer größeren Datenmengen geprägt ist. Den nächsten Quantensprung bringt das Internet of Things, das unsere Lebensumwelt auch in Bereichen digitalisiert, die bisher durch analoge Techniken geprägt waren. Die Datenverarbeitungsprozesse sind dabei funktional in die Gegenstände, Prozesse und Interaktionen integriert. Daten sind nicht mehr allein „Werkstoff“, sondern sowohl Voraussetzung als auch Ergebnis des Verarbeitungsprozesses, und sie fallen in bislang unbekanntem Umfang an. Insofern stimmt es schon, dass unsere hochtechnisierten Gesellschaften zunehmend „Datenreichtum“ produzieren.

Damit ist allerdings nicht gesagt, dass das Konzept der Datensparsamkeit auf den Müllhaufen der IT-Geschichte gehört. Um im Bild zu bleiben: Es gibt es auch in reichen Gesellschaften durchaus Gründe, sparsam zu handeln, sei es beim Umgang mit natürlichen Ressourcen oder auch als Vorsorge für Notsituationen. Dass materieller Reichtum bisweilen auch zu Lasten wichtiger anderer Güter – etwa der Umwelt – geht oder dass die ihm zu Grunde liegenden Prozesse vielfach Ungleichheit und Ausbeutung voraussetzen oder erzeugen, kann heute niemand mehr bestreiten. Auch bei dem Umfang gespeicherter Daten und der Verfügung über sie muss die Frage erlaubt sein, ob es hier zu vergleichbaren negativen externen Effekten kommt. Sofern man nicht der maßlosen Datenerzeugung das Wort redet, was ich nicht einmal den Befürwortern des „Datenreichtums“ unterstellen würde, stellt sich die Frage des rechten Maßes, und zwar nicht nur in Bezug auf Datenvolumina, sondern auch im Hinblick auf die Rahmenbedingungen ihrer Verarbeitung, der Transparenz der Prozesse und Strukturen und der Verwendung der einzelnen Daten oder der aus großen Datenmengen gewonnenen Erkenntnisse.

Es geht um die sehr bedeutsame Frage, inwieweit es überhaupt wünschenswert ist, Informationstechnik datenschutzgerecht zu gestalten, denn die kritisierten Begriffe stehen im Zusammenhang des übergreifenden Konzepts „Privacy by Design“ (PbD), das heute zu den unbestrittenen Werkzeugen im globalen Datenschutz-Instrumentenkasten gehört und auch die im Jahr 2018 in Kraft tretende EU-Datenschutzgrundverordnung prägt. Wer diese Frage verneint, stellt nicht nur Privacy by Design infrage, sondern den Datenschutz überhaupt. Denn das PbD-Konzept ist letztlich nichts anderes als die Operationalisierung der verfassungsrechtlich begründeten Prinzipien der Erforderlichkeit und der Zweckbindung. Erforderlichkeit und Zweckbindung ergeben nur zusammen einen Sinn, denn ohne Zweckfestlegung lässt sich die Erforderlichkeit der Daten nicht beurteilen. Die Speicherung von Daten ohne vorgegebenen Zweck stellt eine Vorratsspeicherung dar, die nur in besonderen Verarbeitungskontexten überhaupt zulässig sein kann (Statistik, Wissenschaft). Insofern würde mit dem Abgehen von der Zweckbindung zwangsläufig auch der Erforderlichkeitsgrundsatz entsorgt.

Grundrecht auf informationelle Selbstbestimmung

Zweckbindung und Erforderlichkeit sind – ebenso wie der Schutz der Privatsphäre – nicht deshalb überholt, weil sich die Technologie rasant weiterentwickelt. Das Bundesverfassungsgerihct hatte 1983 in seinem Volkszählungsurteil das Konzept eines Grundrechts auf informationelle Selbstbestimmung entwickelt, wonach unter den „Bedingungen der modernen Datenverarbeitung … der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt“ werde (BVerfGE 65, 1, S.1). Das Grundrecht gewährleiste insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Gerade die potentielle Unbegrenztheit der elektronischen Datenverarbeitung mache den Schutz des Einzelnen erforderlich und verpflichte den Staat zur Gewährleistung der entsprechenden Rahmenbedingungen.
Das Bundesverfassungsgericht folgt einem risikobasierten Ansatz: Je stärker die Gefährdungen, desto höher sind die Anforderungen an den Schutz. Das Gericht hatte dabei im Blick, dass sich die Informationstechnologie weiterentwickelt und immer leistungsfähiger wird. Die Befugnis zur Datenverarbeitung bedürfe „unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes.“ Personenbezogene Daten seien technisch gesehen unbegrenzt speicherbar und könnten jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abgerufen werden und sie „können darüber hinaus – vor allem beim Aufbau integrierter Informationssysteme – mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann.“ (BVerfG, a.a.O. S. 42)

Big Data

„Big Data“ steht wie kein anderer Begriff für den Übergang zu einem neuen Modell des Umgangs mit Informationen. Der Begriff umschreibt den Umgang mit riesigen Datenmengen, und zwar im wesentlichen im Rahmen einer Zweitverwertung zu anderen als den ursprünglichen Erhebungszwecken. „Big Data“-Ansätze“ folgen dem Paradigma, immer größere Datenberge anzuhäufen in der Hoffnung, durch den Einsatz immer leistungsfähigerer Hard- und Software neue Erkenntnisse zu gewinnen. Gemäß diesem Paradigma handeln auch die erfolgreichen globalen Internetunternehmen, allen voran Google und Facebook. Je umfangreicher die aus dem Nutzungsverhalten gewonnenen Erkenntnisse sind, desto zielgenauer lassen sich Werbebotschaften adressieren und desto genauer passen sich die den Nutzern dargebotenen Informationen deren vermeintlichen oder tatsächlichen individuellen Interessen an. Bezogen auf das jeweilige Nutzerprofil für weniger relevant gehaltene Informationen werden ihnen nicht präsentiert oder nur nachrangig verfügbar gemacht. Je zielgenauer die entsprechende Werbebotschaft platziert wird, desto geringer ist der Streuverlust und desto höher ist der Preis, den der jeweilige Werbetreibende zu bezahlen hat.

Das einzelne Datum, das nach klassischem Datenschutzverständnis danach bewertet wird, ob es für die eigentliche Aufgabenerfüllung erforderlich ist oder eben nicht, verliert aus Sicht der Plattformbetreiber an Bedeutung. Gefragt sind immer größere, möglichst aus unterschiedlichen Quellen und Verarbeitungskontexten stammende Daten, die miteinander korreliert werden und dadurch Hinweise auf Zusammenhänge liefern können.

Die nicht unbedeutenden Kosten der – nur vordergründig kostenlosen – Suchmaschinen, sozialen Netzwerke, und anderer Internetdienste werden zum größten Teil  mit  einer Art Umwegfinanzierung über die werbende Wirtschaft aufgebracht, die ihre Aufwendungen den Kundinnen und Kunden natürlich über den Preis in Rechnung stellt. Auch Vermittlungsplattformen wie Uber oder Airbnb sind für den Nutzer nicht wirklich kostenlos. Letztlich bezahlen sie sogar doppelt: Durch ihre persönlichen Daten, die sie dem Anbieter der Vermittlungsplattform zur Verfügung stellen und durch die in den Kaufpreis eines Produkts oder in die Nutzungsgebühr für kostenpflichtige Dienstleistungen einkalkulierte Vermittlungsprovision. Die genaue Höhe oder auch nur die Größenordnung des durch die Datennutzung erzielten Mehrwerts bleibt dem Verbraucher bzw. Nutzer verborgen. Deshalb ist e auch konsequent, dass Verbraucherschützer hier mehr Transparenz fordern.

 

Anonymisierung und Pseudonymisierung
Datenschützer würden sich  bei dem Versuch überheben, Big Data oder das Internet of Things zu verhindern. Auch um dem falschen Eindruck zu begegnen, sie kämpften als moderne Don Quijotes gegen die informationstechnischen „Windmühlen“ des 21. Jahrhunderts, müssen sie sich auf die Gestaltungsmöglichkeiten von Big Data, Cloud-Diensten und des IoT konzentrieren. Die Herausforderung besteht also darin, die Möglichkeiten einer rechts- und sozialverträglichen Technikgestaltung und -verwendung zu erkennen und zu aktivieren. Bereits jetzt lassen sich eine Reihe von Stellschrauben erkennen, mit denen sich Datenschutzanforderungen auch angesichts neuer Paradigmen der Informationsgewinnung und sich schnell entwickelnder Technologien durchsetzen lassen. Die Sammlung, Aufbereitung und Auswertung der Daten sollte so gestaltet werden, dass sie grundsätzlich ohne Personenbezug erfolgen. Bei einem solchen zeitgemäßen Datenschutzansatz geht also nicht darum, das Datenaufkommen insgesamt zu minimieren, sondern die Menge der auf einzelne natürliche Personen beziehbaren Daten. Dabei  sollte der Charakter der personenbezogenen Daten und ihr Verwendungskontext beachtet werden.

Sowohl die Aussagekraft von Daten als auch die mit ihrer Verwendung verbundenen Risiken hängen vielfach mit der Speicherungsdauer zusammen. Von zentraler Bedeutung bleibt deshalb die Festlegung der entsprechenden Fristen, bei deren Erreichen Daten gelöscht bzw. anonymisiert werden.

Zunächst sollte die Verarbeitung großer Datenmengen so kanalisiert werden, dass der Umfang und die Menge direkt auf einzelne Personen bezogener Daten von Beginn an  so gering wie möglich bleibt. Schon bei der Erhebung sollte stets geprüft werden, ob tatsächlich eine Vollerhebung aller in Frage kommenden personenbezogenen Daten erforderlich ist und für welchen Zeitraum. Dies gilt speziell für die Prozessdaten (Meta Data), die zur Ausführung einer spezifischen Transaktion (Informationsabfrage im Internet, Steuerung eines technischen Geräts, Positionsbestimmung usw.) benötigt werden. Diese Daten weisen zwar im Regelfall bei isolierter Betrachtung eine geringe Sensitivität auf, ermöglichen aber – wenn sie massenhaft gespeichert werden – datenschutzrechlich problematische -detaillierte Persönlichkeitsprofile.

Bei der Speicherung sollten die Identifikationsangaben (Name, Anschrift usw.) von den Nutz- (bzw. Inhalts-)daten getrennt werden. In vielen Anwendungsfeldern lässt sich durch die Absonderung und ggf. Löschung der Identifikationsdaten eine hinreichende Anonymisierung erreichen.

Sofern Daten einer Person, die aus verschiedenen Bereichen oder aus unterschiedlichen Zeitpunkten stammen, für rechtmäßige Zwecke zusammengeführt werden sollen, ist darauf zu achten, dass die Zusammenführung nicht mittels der persönlichen Identifikationsdaten, sondern unter Pseudonym erfolgt. Die Pseudonymisierung führt zwar vielfach nicht zur Aufhebung des Personenbezugs, vermindert aber die Eingriffstiefe in das Recht auf informationelle Selbstbestimmung und das Risiko des Datenmissbrauchs bei unrechtmäßigem Zugriff. Mit der Verwendung kryptographischer Verfahren kann den Risiken für die Vertraulichkeit und Integrität der Daten entgegenwirken.

 

Datenschutz-Empowerment
Schließlich geht es darum, den Einzelnen wieder verstärkt zu befähigen, die Kontrolle über die ihn betreffenden Daten auszuüben. Inwieweit dies gelingt, ist ebenfalls eine Frage der Technikgestaltung. Digitale Systeme, deren Funktionsweise durch Hard- und Software determiniert ist, bestimmen mindestens in demselben Ausmaß wie rechtliche Vorgaben darüber, welche Einflussmöglichkeiten der Einzelne hat, wenn er sie selbst nutzt oder ob er Objekt der Verarbeitung seiner Daten durch Dritte ist.

Dabei kommt Ansätzen, die Nutzerpräferenzen bzw. rechtliche Vorgaben technisch abbilden, besondere Bedeutung zu. Angesichts der Komplexität der technischen Systeme und der tendenziell unbegrenzten Nutzungsmöglichkeiten der Daten läuft das informationelle Selbstbestimmungsrecht leer, wenn letztlich der komplette Datenverarbeitungsprozess allein auf pro forma-Einwilligungen beruht, die den für die Verarbeitung verantwortlichen Stellen de facto freie Hand lassen. Vor diesem Hintergrund sind technische Ansätze wie P3P (Platform for Privacy Preferences) heute notwendiger denn je.

Bei Beachtung dieser Maximen steht der Datenschutz nicht in unauflösbarem Widerspruch zu Geschäftsmodellen, die auf der Auswertung großer Datenmengen beruhen.

Zugleich muss deutlich mehr Augenmerk auf die Verwendung der Daten gelegt werden: Weil Big und Smart Data-Ansätze  – auch bei Verwendung anonymisierter Daten – mächtige Werkzeuge zur Auswertung, Bewertung und Prognose menschlichen Verhaltens zur Verfügung stellen, bedarf es auch hierfür klarer Regeln und Grenzen, die technisch operationalisiert werden müssen. Ansonsten droht eine an vermeintlich objektiven Kriterien orientierte systematische Diskriminierung einzelner Personen und von Gruppen, die allein aufgrund ihres Datenprofils als besonders risikoträchtig angesehen werden. Dies zu verhindern ist eine Aufgabe, die weit über den am Schutz der informationellen  Selbstbestimmung orientierten Datenschutz hinausgeht, die aber ohne zeitgemäße Datenschutztechniken nicht zu bewältigen sein wird.

Datenschutz? Ist mir doch egal!

(Bei diesem Text handelt es sich um die Langfassung eines Gastbeitrags, der im Juli 2015 in verschiedenen deutschen Zeitungen erschienen ist)

Obwohl wir heute jeden Tag ungeheure Mengen digitaler Daten produzieren, reagieren die meisten Menschen auf die damit einhergehenden Gefahren eher gleichgültig. Eine Mischung aus  Verdrängung und Resignation. Datenschutz? Darum sollen sich doch die Datenschutzbehörden kümmern, die werden schließlich dafür bezahlt! Und immer noch hören wir den dummen Satz:  „Ich habe doch nichts zu verbergen!“

Fast täglich lesen wir Berichte über gestohlene Daten, Cyberangriffe und Datenschutzverletzungen. Facebook ändert seine Nutzungsbedingungen und schaut uns laufend  beim Surfen über die Schulter? Na wenn schon! Die NSA liest unsere E-Mails mit? Der amerikanische Geheimdienst interessiert sich doch nicht für mich! Vorratsdatenspeicherung? Davor haben doch nur Kriminelle und Terroristen Angst!

Es ist zu befürchten, dass wir unsere Ignoranz teuer bezahlen müssen. Viele werden sich demnächst Vorwürfe machen, warum sie sich nicht rechtzeitig um ihren digitalen Schatten gekümmert haben. Gefahren drohen nicht nur von Kriminellen und Cyberterroristen. Schmerzhaft wird es auch dann, wenn wenn ich sehr viel mehr Zinsen zahlen muss als die Nachbarin, obwohl ich doch bisher alle Kredite zurückgezahlt habe. Oder wenn ich die beantragte Versicherung nicht bekomme oder wenn mir die Auszahlung der Versicherungssumme unter Hinweis auf widersprüchliche Daten verweigert wird. Allgegenwärtige Datenverarbeitung heißt zugleich auch umfassende, permanente Beobachtung – ohne Vergessen und Vergeben.

Vieles von dem, was mit unseren Daten geschieht, spielt sich hinter unserem Rücken ab. die Datensammler sind längst in unseren Alltag eingesickert, ohne dass wir dies bemerkt haben. Fast jeder rechnet heute damit, dass jede  Aktivität im Internet Spuren hinterlässt und vielen ist bewusst, dass das Smartphone unseren Aufenthaltsort ausplaudert. Aber dass unser Auto  immer mehr Daten sammelt  und die so gewonnenen Informationen über unseren Fahrstil demnächst an die Versicherung weiterleitet, ist weniger bekannt. Und an die Videokameras an allen möglichen und unmöglichen Orten haben wir uns fast gewöhnt. Dass die Überwachungssysteme allerdings  zunehmend die aufgenommenen Bilder auswerten und Personen anhand ihres Gesichts identifizieren können, wissen die wenigsten. Überwachung bestimmt immer größere Teil unseres Alltags, im Büro, auf der Straße und auch im häuslichen Wohnzimmer per Smart TV.

Andererseits möchten die Wenigsten auf die Bequemlichkeiten verzichten, die es ohne Technik nicht geben würde: Computerspiele, Internet, Navigationssysteme, elektronisches Bestellen und Bezahlen, um nur einige Beispiele zu nennen. Und die Geschäftsmodelle von Google, Facebook & Co. haben uns daran gewöhnt, dass wir selbst für hochwertige Leistungen und Informationen kein Geld zahlen müssen. Aber auch im Internet gilt der Satz: Nichts ist umsonst! Selbstverständlich bezahlen wir für die „kostenlosen“ Dienste – aber die Währung sind unsere Daten. Im Unterschied zu den Frühstücksbrötchen, die wir beim Bäcker kaufen, können wir den wirklichen Preis nicht abschätzen, den wir für viele elektronische Dienstleistungen bezahlen.

Wie teuer die elektronischen Dienste  in Wirklichkeit sind, merken zunächst diejenigen, die kreativ sind und die Informationen produzieren. Die Erlöse der elektronischen Verbreitung landen zum größten Teil bei den  Betreibern von Internet-Plattformen und Suchmaschinen und nicht bei den Journalisten, Musikern und Künstlern. Aber auch die Nutzer werden zunehmend zur Finanzierung herangezogen, indem sie umfassend in ihrem Verhalten, ihren Interessen und persönlichen Eigenschaften registriert und laufend bewertet werden. Die so gewonnenen Persönlichkeitsprofile sind nicht nur die Grundlage für maßgeschneiderte Werbebotschaften sondern zunehmend auch für alltägliche Entscheidungen, etwa darüber, wer wie lange in einer telefonischen Warteschleife zu verharren hat oder wer einen Mietvertrag bekommt.

Es stimmt schon: Big Data schafft neue Erkenntnisgrundlagen, aber die Kenntnisse sind ungleich verteilt. Die meisten datengetriebenen Geschäftsmodelle gleichen einem venezianischen Spiegel,  der nur einseitig durchsichtig ist. Die großen privatwirtschaftlichen und staatlichen Datensammler wissen alles über die Nutzer, aber sie hüten Ihre Datenschatz wie einen Augapfel. Wer von ihnen, die doch alles über uns wissen wollen und vieles erfahren, umfassende Transparenz fordert, dem werden allzu häufig Staats- und Geschäftsgeheimnisse entgegenhalten.

Es stimmt schon: Der Weg in die digitale Gesellschaft ist unumkehrbar. Und trotzdem können wir  darauf einwirken, wie unser Leben in 10 oder 20 Jahren aussehen wird. Hätte man vor 150 Jahren der Industrialisierung freien Lauf gelassen, gäbe es bei uns immer noch Kinderarbeit und Arbeitsschutz wäre ein Fremdwort. Ohne den im 19. Jahrhundert begonnenen Kampf von Frauen gäbe es bis heute kein Frauenwahlrecht. Nur durch das Engagement von Bürgerrechtlern ist in den 1960er Jahren in den USA die Rassentrennung gefallen. Und der Umweltschutz wird heute nur deshalb sehr viel ernster genommen, weil sich viele Menschen dafür eingesetzt haben. Genau so müssen wir uns für eine demokratische, menschenfreundliche Gestaltung der Informationsgesellschaft stark machen.

Viele schrecken angesichts der Größe der Aufgabe davor zurück. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“: Privatsphäre ernst nehmen, nachfragen, technische Schutzmöglichkeiten nutzen – angesichts der Herausforderungen erscheint dies nicht viel. Aber selbst kleinste eigene Schritte tragen zu dem notwendigen Stimmungs- und Meinungswandel bei.

Die Informationsgesellschaft ist kein virtueller Vergnügungspark, sie ist aber auch nicht der Friedhof der Demokratie. Gleichgültigkeit, Lethargie und Resignation sind das letzte, was wir brauchen. Auch die Informationsgesellschaft lebt von engagierten Bürgerinnen und Bürgern, die sich auskennen und die sich einsetzen. Die neuen Informationstechnologien erleichtern es, sich bürgerschaftlich zu vernetzen, unerwünschte Informationen öffentlich zu machen und Diskussionen anzustoßen. Deshalb wäre es auch nicht richtig, die Diskussion über die digitale Zukunft wenigen Spezialisten zu überlassen, Informatikern, Nerds oder – naja – auch den Datenschützern. Vor allem aber  dürfen wir nicht dem Irrtum erliegen, der Weg in die Überwachungsgesellschaft sei ein unbeeinflussbares Schicksal.

Hansjürgen Garstka – Big Data: Auf dem Weg in die Datendiktatur?

Tagungsbericht zum Steinmüller Workshop 2015

Zum dritten Mal trafen sich am 27. Mai Freunde und Kollegen des vor zwei Jahren verstorbenen Datenschutzapologeten Wilhelm Steinmüller in der Europäischen Akademie Berlin, um Fragen der Beziehung von Informatik und Gesellschaft zu diskutieren. Das Thema des diesjährigen Workshops „Big Data: Auf dem Weg in die Datendiktatur“ knüpft an einen Begriff an, den Steinmüller in seinem Lebenswerk „Informationstechnologie und Gesellschaft“ als Synonym für die Gefahren der Informatisierung der Gesellschaft geprägt hatte.

Vollständiger Tagungsbericht (pdf)

Die SCHUFA und Big Data – BMJ übernehmen Sie!

Die ablehnende Entscheidung des Bundesgerichtshofs zu einem umfassenden Auskunftsrecht gegenüber der SCHUFA hat erhebliche Konsequenzen. Letztlich geht es darum, ob der Datenschutz auch dort greift, wo auf Grund („bloß“) statistischer Zusammenhänge auf individuelles Verhalten geschlossen wird. Denn auch solche statistische Bewertungen ziehen erhebliche persönliche Konsequenzen nach sich, etwa ob ein Kredit vergeben wird. Auch auch bei der existentiellen Frage, ob ich als Mieter akzeptiert werde, kann der Scorewert eine Rolle spielen. Der SCHUFA-Score funktioniert dabei ähnlich wie Big Data-Anwendungen, die uns tagtäglich und überall in unserem Alltag beobachten und bewerten.

Die SCHUFA beschränkt sich seit langem nicht mehr darauf, Banken vor „schwarzen Schafen“ zu warnen, die ihre Kredite nicht ordnungsgemäß zurückgezahlt haben. Vielmehr werden alle möglichen Informationen ausgewertet, um die Kreditwürdigkeit eines (potentiellen) Kunden mittels eine Kopfnote (Scorewert) zu beurteilen. Der auf der Grundlage eines mathematisch-statistischen Verfahrens errechnete Scorewert soll Banken, Versandhändlern, Telekommunikationsunternehmen und Vermietern die Wahrscheinlichkeit des künftigen individuellen Zahlungsverhaltens offenbaren.

Selbst wer überhaupt niemals einen Kredit aufgenommen oder ihn pünktlich zurückgezahlt hat, kann einen schlechten Scorewert erhalten. Denn Faktoren wie Alter, Geschlecht oder Wohnort, die Dauer eines Arbeitsverhältnisses können den Scorewert negativ beeinflussen.

Dabei greift das „Scoring“ immer weiter um sich: Unser Surfverhalten im Internet wird bewertet, um uns passende Werbebotschaften zuzusenden („Behavioral Targeting“), Versicherungen werten aus, wie wir mit dem Auto unterwegs sind und berechnen auf dieser Grundlage unsere Policen („Pay as you drive“) und US-Sicherheitsbehörden bewerten Fluggastdaten, Telefon- und Internetdaten, um potentielle Terroristen ausfindig zu machen. Bei solchen „Big Data“-Verfahren können wir immer weniger selbst über die Preisgabe und Verwendung unserer Daten bestimmen.

Hier brauchen wir zumindest umfassende Transparenz. Zwar müssen uns Kreditauskunfteien seit 2010 einmal im Jahr einen kostenlosen „Kontoauszug“ über die gespeicherten Daten geben. Auch haben sie uns über wesentliche Faktoren zu informieren, die in Scorewerte eingeflossen sind. Das Urteil des Bundesgerichtshofs verdeutlicht aber, dass dies nicht ausreicht. Der BGH hat nämlich festgestellt, dass die SCHUFA über die „Scoreformel“, also die Gewichtung und Berechnung der Scorewerte, keine Auskunft erteilen muss, weil es sich dabei um ein Betriebs- und Geschäftsgeheimnis handelt. Deshalb muss jetzt der Gesetzgeber hier für die notwendige Transparenz sorgen. Nicht nur die beim Scoring verwendeten Daten müssen offengelegt werden, sondern auch, wie daraus eine Kopfnote wird.

Dies ist eine schöne und wichtige Aufgabe für den neuen Bundesjustizminister Maas und seine beiden dem Verbraucherschutz verpflichteten Staatssekretäre Billen und Kelber.

BMJ über nehmen Sie!
Ihr

Peter Schaar