Datenpolitik jenseits von Datenschutz

Von Ralf Keuper

Führt die Diskussion um den Datenschutz zu einer Art Blickverengung? Anders gefragt: Geraten die eigentlichen ökonomischen und gesellschaftlichen Herausforderungen beim Umgang mit personenbezogenen, sensiblen Daten durch ein eher defensives Vorgehen, das auf Vermeidung zielt, nicht aus dem Blick? So in etwa könnte man den Tenor des Diskussionspapiers Datenpolitik jenseits von Datenschutz beschreiben, oder in den Worten der Autoren Julia Manske und Dr. Tobias Knobloch:

Unsere zentrale These lautet: Der in der gegenwärtigen Datenpolitik weithin verfolgte dichotomische Ansatz – hier Personenbezug, dann Datenschutzregime; dort kein Personenbezug, dann Freifahrtschein – ist dafür verantwortlich, dass Grundrechte im digitalen Raum heute de facto nicht effektiv geschützt sind. Auch abgesehen davon wird dieser Datensteuerungsansatz den komplexen Anforderungen des Datenzeitalters nicht gerecht. Daten gleich welcher Herkunft sind in der Praxis immer Teil eines Datenökosystems, in dem sie verarbeitet und genutzt werden.

Daten sind ihrem Wesen nach nicht statisch – sie können in verschiedene Zusammenhänge gestellt werden und sich damit in Informationen (syntaktisch, semantisch, pragmatisch) verwandeln, deren Verwendung in der Datenökonomie vorab nicht festgelegt werden kann. Auch die DSGVO wird daran per se nichts ändern:

Oft erschließt sich der Wert unserer Daten erst zu einem späteren Zeitpunkt und möglicherweise erst im Zusammenhang mit anderen Daten. Das liegt daran, dass Innovationen aus Daten wie alle Entdeckungsverfahren offen sind. Jede wie auch immer motivierte Vorfestlegung auf bestimmte Zwecke hemmt der Tendenz nach die Innovationsleistung und damit auch die Aussicht auf Profit. Das ist bei großen Plattformbetreibern wie Airbnb nicht anders als bei kleineren Anbietern datengetriebener Dienste. Die Politik muss demnach grundsätzlich dazu bereit sein, Innovationstätigkeiten und Gewinnaussichten zu beschränken, sollte sie zu dem Schluss kommen, dass die Praktiken, die datengetriebenen Geschäftsmodellen zugrunde liegen, demokratische Grundwerte aushöhlen und Persönlichkeitsrechte verletzen. Genau das aber scheint bei den derzeitigen Datenhandhabungsarten tatsächlich regelmäßig der Fall zu sein, und es besteht unserer Ansicht nach wenig Aussicht darauf, dass sich das mit dem Inkrafttreten der DSGVO ohne weiteres grundlegend ändern wird.

Erschwerend kommt hinzu, dass die genaue Definition dessen, was personenbezogene Daten konkret und zweifelsfrei sind und wie sie geschützt werden können, schwierig ist:

Deshalb gibt es keinen leicht identifizierbaren Bereich persönlicher Informationen, durch deren besonders strengen Schutz man das Individuum und die Gesellschaft vor sämtlichen negativen Folgen der Datenverarbeitung schützen könnte. Zusätzlich, nicht alternativ zum Datenschutz brauchen wir auf mehreren Ebenen andere Steuerungsmechanismen für die Datennutzung: auf der Ebene der Datenarten (z.B. Personendaten oder Sensordaten), für unterschiedliche Datenbereiche (z.B. Mobilität oder Gesundheit), in verschiedenen Nutzungskontexten (z.B. öffentlicher Sektor oder Wirtschaft) und schließlich für die ganze Gesellschaft, welches letztere auf die selten gestellte Frage hinausläuft, was für eine von Daten befeuerte Gesellschaft wir eigentlich sein wollen.

Die Wirkung der DSGVO betrachten die Autoren mit gemischten Gefühlen:

Die DSGVO wird aus Sicht des Datenschutzes vermutlich einige Verbesserungen bringen, aber an den grundsätzlichen Mankos des Datenschutzes nichts ändern. Vielmehr schreibt sie die zentralen Datenschutzprinzipien – von einigen Neuerungen abgesehen – im Wesentlichen fort, ohne bestehende Missstände konsequent zu beseitigen. Der illegale Handel mit schlecht anonymisierten oder gar nur pseudonymisierten Daten kann etwa nur dann sanktioniert werden, wenn Strafverfolgungsbehörden darüber in Kenntnis gesetzt werden und hinreichend ausgestattet sind, um den Hinweisen nachzugehen. Das ist derzeit selten der Fall und daran wird sich nach jetzigem Umsetzungsstand auch unter dem Regime der DSGVO jedenfalls nicht von selbst etwas ändern. Dennoch könnte die DSGVO hier insofern positive Wirkung entfalten, als dass die hohen Bußgelder Unternehmen auch ohne regelmäßige Meldungen und Kontrollen von Verstößen zur Gesetzeskonformität zwingen könnten, weil schon ein einziger tatsächlicher Sanktionsfall existenzbedrohend wäre.

Nötig ist daher ein Perspektivwechsel vom Datenschutz hin zu einer Datenpolitik bzw. Datensteuerung:

Praktiken der Datenerschließung und -verarbeitung unterscheiden sich in den verschiedenen Anwendungsbereichen zum Teil erheblich. One-size-fitsall-Lösungen sind daher sehr wahrscheinlich ungeeignet, den traditionellen Datenschutzansatz für die Zukunft sinnvoll zu erweitern. Mobilitätsdaten sind anderer Natur als Steuerdaten oder Gesundheitsdaten, sie werden anders erfasst, verarbeitet und erlauben jeweils andere Schlüsse. Sobald wir jenseits des Datenschutzes, der seiner Natur nach ein Catch-all-Instrument ist, über Datensteuerung nachdenken, tun wir daher gut daran, das bereichsspezifisch und fallbezogen zu tun.  ..

Letztlich müssen wir uns in all diesen Bereichen – wiederum: nicht anstelle, sondern vielmehr über den Datenschutzansatz hinaus – die Frage stellen, welche Daten in welchem Umfang zwischen welchen Akteuren und Systemen geteilt werden müssen, damit wir erwünschte Ziele erreichen und unerwünschte Effekte vermeiden.

Technische Lösungen aus dem Umfeld der Personal Informations Management Systems (PIMS) sind für die Autoren ein wichtiger Schritt auf dem Weg zu mehr Datensouveränität des einzelnen sowie verbesserter Datensteuerung auf gesellschaftlicher Ebene:

Die Bewegung befindet sich noch in den Kinderschuhen. Sie wird aber auch deswegen mit Spannung beobachtet, weil sie viele der sehr theoretischen Ansätze der DSGVO in praktische Lösungen übersetzen würde. Ganz explizit können PIMS zugleich Förderer und Profiteure vom neuen Recht auf Datenportabilität nach Artikel 20 DSGVO werden. Dieses neue Recht soll es Verbrauchern ermöglichen, Anbieter leichter zu wechseln und damit eventuell auch die aktuelle Monopolstellung einiger weniger zu unterbinden. Doch bislang ist dieses Recht noch ein theoretisches, das von den PIMS jedoch anfassbar gemacht wird. Darüber hinaus könnten PIMS auf weitere, durch die DSGVO eröffneten Umsetzungsfragen eine Antwort bieten, etwa auf das Auskunftsrecht und das Recht auf Löschung oder Berichtigung. …

PIMS stehen für einen Veränderungsprozess, der sich nicht aufhalten lässt:

Schon diese kurze kritische Erörterung der PIMS zeigt, dass insbesondere neue, auf avancierten technischen Datensteuerungsmechanismen und datenethischen Prinzipien beruhende Geschäftsmodelle ein probates Mittel sind, um wirksame Änderungen am Status quo zu erwirken. Denn am Ende ist es der – eben nicht vollständig rational handelnde, sondern in seinem Wissen, Wollen und Können eingeschränkte – Verbraucher, der darüber entscheidet, welche datenintensiven Anwendungen massenhaft genutzt werden und damit ökonomisch konkurrenzfähig sind; und er entscheidet damit letztlich auch darüber, welche neuen Technologien sich durchsetzen.

Dieser Beitrag wurde unter Data Banking, Datensouveränität abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar