Beim diesjährigen „Nationalen IT-Gipfel“, der am 16. und 17. November 2016 in Saarbrücken stattfindet, geht es auch um die Zukunft des Datenschutzes. Zeitgleich mit der Europäischen Datenschutzreform, die den Schutz der Privatsphäre und der personenbezogenen Daten verbessern soll, wird von Politikern und Unternehmensverbänden das im deutschen und europäischen Datenschutzrecht verankerte Prinzip der „Datensparsamkeit“ unter Beschuss genommen.
Schon in den zum IT-Gipfel 2015 vom Bundesministerium für Wirtschaft und Energie zum IT-Gipfel 2015 veröffentlichten „Leitplanken Digitaler Souveränität“ warnte das Bundeswirtschaftsministerium davor, datenbasierte digitale Geschäftsmodelle würden „durch ein unzeitgemäßes Datensparsamkeitsdiktat verhindert … Bisherige Grundprinzipien des Datenschutzes wie Datensparsamkeit und Zweckbindung müssen überprüft und durch Prinzipien der Datenvielfalt und des Datenreichtums ergänzt und ersetzt werden.“
Im Vorfeld des diesjährigen IT-Gipfels sehen manche PolitikerInnen gar den Wohlstand unserer Gesellschaft gefährdet, sollten wir an dem Konzept der „Datensparsamkeit“ festhalten:. „Wer Datensparsamkeit predigt, riskiert nicht nur wirtschaftlichen Stillstand und gefährdet damit unseren Wohlstand, sondern er verhindert auch neue Entwicklungen zum Wohle der Menschen“, zitiert etwa das Handelsblatt die stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Nadine Schön.
Nun ist der Begriff „Datensparsamkeit“ – genauso wie sein Pendant „Datenreichtum“ – durchaus ambivalent. Zum einen handelt es sich dabei nicht wirklich um Gegensätze, denn die Negationen von Sparsamkeit sind – positiv – Großzügigkeit oder – negativ – Verschwendung. Und das Gegenteil von Reichtum ist Armut. Ob Sparsamkeit eine Tugend ist, wie sie der schwäbischen Hausfrau zugeschrieben wird, oder aber in ihrer übersteigerten Form im Sinne von Geiz eine der sieben Todsünden, mag dahingestellt bleiben.
Bei genauerer Betrachtung zeigt sich, dass hier ein Popanz aufgebaut wird, um den ohnehin löcherigen Schutz personenbezogener Daten weiter abzusenken. § 3a Bundesdatenschutzgesetz verpflichtet die für die Datenverarbeitung verantwortlichen Stellen dazu, die Ausrichtung der Auswahl, der Gestaltung und des Betriebs von Datenverarbeitungssystemen an der Maxime auszurichten, „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“. Insbesondere sind die Daten zu anonymisieren oder zu pseudonymisieren, „soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“
Datenüberfluss
Das empirisch belegte „Moore’sche Gesetz“, wonach sich die Leistungsfähigkeit der IT-Komponenten alle 18 bis 24 Monate verdoppelt, legt nahe, dass die technologische Realität von immer größeren Datenmengen geprägt ist. Den nächsten Quantensprung bringt das Internet of Things, das unsere Lebensumwelt auch in Bereichen digitalisiert, die bisher durch analoge Techniken geprägt waren. Die Datenverarbeitungsprozesse sind dabei funktional in die Gegenstände, Prozesse und Interaktionen integriert. Daten sind nicht mehr allein „Werkstoff“, sondern sowohl Voraussetzung als auch Ergebnis des Verarbeitungsprozesses, und sie fallen in bislang unbekanntem Umfang an. Insofern stimmt es schon, dass unsere hochtechnisierten Gesellschaften zunehmend „Datenreichtum“ produzieren.
Damit ist allerdings nicht gesagt, dass das Konzept der Datensparsamkeit auf den Müllhaufen der IT-Geschichte gehört. Um im Bild zu bleiben: Es gibt es auch in reichen Gesellschaften durchaus Gründe, sparsam zu handeln, sei es beim Umgang mit natürlichen Ressourcen oder auch als Vorsorge für Notsituationen. Dass materieller Reichtum bisweilen auch zu Lasten wichtiger anderer Güter – etwa der Umwelt – geht oder dass die ihm zu Grunde liegenden Prozesse vielfach Ungleichheit und Ausbeutung voraussetzen oder erzeugen, kann heute niemand mehr bestreiten. Auch bei dem Umfang gespeicherter Daten und der Verfügung über sie muss die Frage erlaubt sein, ob es hier zu vergleichbaren negativen externen Effekten kommt. Sofern man nicht der maßlosen Datenerzeugung das Wort redet, was ich nicht einmal den Befürwortern des „Datenreichtums“ unterstellen würde, stellt sich die Frage des rechten Maßes, und zwar nicht nur in Bezug auf Datenvolumina, sondern auch im Hinblick auf die Rahmenbedingungen ihrer Verarbeitung, der Transparenz der Prozesse und Strukturen und der Verwendung der einzelnen Daten oder der aus großen Datenmengen gewonnenen Erkenntnisse.
Es geht um die sehr bedeutsame Frage, inwieweit es überhaupt wünschenswert ist, Informationstechnik datenschutzgerecht zu gestalten, denn die kritisierten Begriffe stehen im Zusammenhang des übergreifenden Konzepts „Privacy by Design“ (PbD), das heute zu den unbestrittenen Werkzeugen im globalen Datenschutz-Instrumentenkasten gehört und auch die im Jahr 2018 in Kraft tretende EU-Datenschutzgrundverordnung prägt. Wer diese Frage verneint, stellt nicht nur Privacy by Design infrage, sondern den Datenschutz überhaupt. Denn das PbD-Konzept ist letztlich nichts anderes als die Operationalisierung der verfassungsrechtlich begründeten Prinzipien der Erforderlichkeit und der Zweckbindung. Erforderlichkeit und Zweckbindung ergeben nur zusammen einen Sinn, denn ohne Zweckfestlegung lässt sich die Erforderlichkeit der Daten nicht beurteilen. Die Speicherung von Daten ohne vorgegebenen Zweck stellt eine Vorratsspeicherung dar, die nur in besonderen Verarbeitungskontexten überhaupt zulässig sein kann (Statistik, Wissenschaft). Insofern würde mit dem Abgehen von der Zweckbindung zwangsläufig auch der Erforderlichkeitsgrundsatz entsorgt.
Grundrecht auf informationelle Selbstbestimmung
Zweckbindung und Erforderlichkeit sind – ebenso wie der Schutz der Privatsphäre – nicht deshalb überholt, weil sich die Technologie rasant weiterentwickelt. Das Bundesverfassungsgerihct hatte 1983 in seinem Volkszählungsurteil das Konzept eines Grundrechts auf informationelle Selbstbestimmung entwickelt, wonach unter den „Bedingungen der modernen Datenverarbeitung … der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt“ werde (BVerfGE 65, 1, S.1). Das Grundrecht gewährleiste insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Gerade die potentielle Unbegrenztheit der elektronischen Datenverarbeitung mache den Schutz des Einzelnen erforderlich und verpflichte den Staat zur Gewährleistung der entsprechenden Rahmenbedingungen.
Das Bundesverfassungsgericht folgt einem risikobasierten Ansatz: Je stärker die Gefährdungen, desto höher sind die Anforderungen an den Schutz. Das Gericht hatte dabei im Blick, dass sich die Informationstechnologie weiterentwickelt und immer leistungsfähiger wird. Die Befugnis zur Datenverarbeitung bedürfe „unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes.“ Personenbezogene Daten seien technisch gesehen unbegrenzt speicherbar und könnten jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abgerufen werden und sie „können darüber hinaus – vor allem beim Aufbau integrierter Informationssysteme – mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann.“ (BVerfG, a.a.O. S. 42)
Big Data
„Big Data“ steht wie kein anderer Begriff für den Übergang zu einem neuen Modell des Umgangs mit Informationen. Der Begriff umschreibt den Umgang mit riesigen Datenmengen, und zwar im wesentlichen im Rahmen einer Zweitverwertung zu anderen als den ursprünglichen Erhebungszwecken. „Big Data“-Ansätze“ folgen dem Paradigma, immer größere Datenberge anzuhäufen in der Hoffnung, durch den Einsatz immer leistungsfähigerer Hard- und Software neue Erkenntnisse zu gewinnen. Gemäß diesem Paradigma handeln auch die erfolgreichen globalen Internetunternehmen, allen voran Google und Facebook. Je umfangreicher die aus dem Nutzungsverhalten gewonnenen Erkenntnisse sind, desto zielgenauer lassen sich Werbebotschaften adressieren und desto genauer passen sich die den Nutzern dargebotenen Informationen deren vermeintlichen oder tatsächlichen individuellen Interessen an. Bezogen auf das jeweilige Nutzerprofil für weniger relevant gehaltene Informationen werden ihnen nicht präsentiert oder nur nachrangig verfügbar gemacht. Je zielgenauer die entsprechende Werbebotschaft platziert wird, desto geringer ist der Streuverlust und desto höher ist der Preis, den der jeweilige Werbetreibende zu bezahlen hat.
Das einzelne Datum, das nach klassischem Datenschutzverständnis danach bewertet wird, ob es für die eigentliche Aufgabenerfüllung erforderlich ist oder eben nicht, verliert aus Sicht der Plattformbetreiber an Bedeutung. Gefragt sind immer größere, möglichst aus unterschiedlichen Quellen und Verarbeitungskontexten stammende Daten, die miteinander korreliert werden und dadurch Hinweise auf Zusammenhänge liefern können.
Die nicht unbedeutenden Kosten der – nur vordergründig kostenlosen – Suchmaschinen, sozialen Netzwerke, und anderer Internetdienste werden zum größten Teil mit einer Art Umwegfinanzierung über die werbende Wirtschaft aufgebracht, die ihre Aufwendungen den Kundinnen und Kunden natürlich über den Preis in Rechnung stellt. Auch Vermittlungsplattformen wie Uber oder Airbnb sind für den Nutzer nicht wirklich kostenlos. Letztlich bezahlen sie sogar doppelt: Durch ihre persönlichen Daten, die sie dem Anbieter der Vermittlungsplattform zur Verfügung stellen und durch die in den Kaufpreis eines Produkts oder in die Nutzungsgebühr für kostenpflichtige Dienstleistungen einkalkulierte Vermittlungsprovision. Die genaue Höhe oder auch nur die Größenordnung des durch die Datennutzung erzielten Mehrwerts bleibt dem Verbraucher bzw. Nutzer verborgen. Deshalb ist e auch konsequent, dass Verbraucherschützer hier mehr Transparenz fordern.
Anonymisierung und Pseudonymisierung
Datenschützer würden sich bei dem Versuch überheben, Big Data oder das Internet of Things zu verhindern. Auch um dem falschen Eindruck zu begegnen, sie kämpften als moderne Don Quijotes gegen die informationstechnischen „Windmühlen“ des 21. Jahrhunderts, müssen sie sich auf die Gestaltungsmöglichkeiten von Big Data, Cloud-Diensten und des IoT konzentrieren. Die Herausforderung besteht also darin, die Möglichkeiten einer rechts- und sozialverträglichen Technikgestaltung und -verwendung zu erkennen und zu aktivieren. Bereits jetzt lassen sich eine Reihe von Stellschrauben erkennen, mit denen sich Datenschutzanforderungen auch angesichts neuer Paradigmen der Informationsgewinnung und sich schnell entwickelnder Technologien durchsetzen lassen. Die Sammlung, Aufbereitung und Auswertung der Daten sollte so gestaltet werden, dass sie grundsätzlich ohne Personenbezug erfolgen. Bei einem solchen zeitgemäßen Datenschutzansatz geht also nicht darum, das Datenaufkommen insgesamt zu minimieren, sondern die Menge der auf einzelne natürliche Personen beziehbaren Daten. Dabei sollte der Charakter der personenbezogenen Daten und ihr Verwendungskontext beachtet werden.
Sowohl die Aussagekraft von Daten als auch die mit ihrer Verwendung verbundenen Risiken hängen vielfach mit der Speicherungsdauer zusammen. Von zentraler Bedeutung bleibt deshalb die Festlegung der entsprechenden Fristen, bei deren Erreichen Daten gelöscht bzw. anonymisiert werden.
Zunächst sollte die Verarbeitung großer Datenmengen so kanalisiert werden, dass der Umfang und die Menge direkt auf einzelne Personen bezogener Daten von Beginn an so gering wie möglich bleibt. Schon bei der Erhebung sollte stets geprüft werden, ob tatsächlich eine Vollerhebung aller in Frage kommenden personenbezogenen Daten erforderlich ist und für welchen Zeitraum. Dies gilt speziell für die Prozessdaten (Meta Data), die zur Ausführung einer spezifischen Transaktion (Informationsabfrage im Internet, Steuerung eines technischen Geräts, Positionsbestimmung usw.) benötigt werden. Diese Daten weisen zwar im Regelfall bei isolierter Betrachtung eine geringe Sensitivität auf, ermöglichen aber – wenn sie massenhaft gespeichert werden – datenschutzrechlich problematische -detaillierte Persönlichkeitsprofile.
Bei der Speicherung sollten die Identifikationsangaben (Name, Anschrift usw.) von den Nutz- (bzw. Inhalts-)daten getrennt werden. In vielen Anwendungsfeldern lässt sich durch die Absonderung und ggf. Löschung der Identifikationsdaten eine hinreichende Anonymisierung erreichen.
Sofern Daten einer Person, die aus verschiedenen Bereichen oder aus unterschiedlichen Zeitpunkten stammen, für rechtmäßige Zwecke zusammengeführt werden sollen, ist darauf zu achten, dass die Zusammenführung nicht mittels der persönlichen Identifikationsdaten, sondern unter Pseudonym erfolgt. Die Pseudonymisierung führt zwar vielfach nicht zur Aufhebung des Personenbezugs, vermindert aber die Eingriffstiefe in das Recht auf informationelle Selbstbestimmung und das Risiko des Datenmissbrauchs bei unrechtmäßigem Zugriff. Mit der Verwendung kryptographischer Verfahren kann den Risiken für die Vertraulichkeit und Integrität der Daten entgegenwirken.
Datenschutz-Empowerment
Schließlich geht es darum, den Einzelnen wieder verstärkt zu befähigen, die Kontrolle über die ihn betreffenden Daten auszuüben. Inwieweit dies gelingt, ist ebenfalls eine Frage der Technikgestaltung. Digitale Systeme, deren Funktionsweise durch Hard- und Software determiniert ist, bestimmen mindestens in demselben Ausmaß wie rechtliche Vorgaben darüber, welche Einflussmöglichkeiten der Einzelne hat, wenn er sie selbst nutzt oder ob er Objekt der Verarbeitung seiner Daten durch Dritte ist.
Dabei kommt Ansätzen, die Nutzerpräferenzen bzw. rechtliche Vorgaben technisch abbilden, besondere Bedeutung zu. Angesichts der Komplexität der technischen Systeme und der tendenziell unbegrenzten Nutzungsmöglichkeiten der Daten läuft das informationelle Selbstbestimmungsrecht leer, wenn letztlich der komplette Datenverarbeitungsprozess allein auf pro forma-Einwilligungen beruht, die den für die Verarbeitung verantwortlichen Stellen de facto freie Hand lassen. Vor diesem Hintergrund sind technische Ansätze wie P3P (Platform for Privacy Preferences) heute notwendiger denn je.
Bei Beachtung dieser Maximen steht der Datenschutz nicht in unauflösbarem Widerspruch zu Geschäftsmodellen, die auf der Auswertung großer Datenmengen beruhen.
Zugleich muss deutlich mehr Augenmerk auf die Verwendung der Daten gelegt werden: Weil Big und Smart Data-Ansätze – auch bei Verwendung anonymisierter Daten – mächtige Werkzeuge zur Auswertung, Bewertung und Prognose menschlichen Verhaltens zur Verfügung stellen, bedarf es auch hierfür klarer Regeln und Grenzen, die technisch operationalisiert werden müssen. Ansonsten droht eine an vermeintlich objektiven Kriterien orientierte systematische Diskriminierung einzelner Personen und von Gruppen, die allein aufgrund ihres Datenprofils als besonders risikoträchtig angesehen werden. Dies zu verhindern ist eine Aufgabe, die weit über den am Schutz der informationellen Selbstbestimmung orientierten Datenschutz hinausgeht, die aber ohne zeitgemäße Datenschutztechniken nicht zu bewältigen sein wird.