Warum ich die Resolution von @digitalcourage zur EU-Datenschutzverordnung für falsch halte
Der Datenschutz-Förderverein Digitalcourage hat heute zur Zeichnung einer Resolution gegen die Aushölung des Datenschutzes im Zuge der EU-Datenschutzgrundverordnung aufgerufen, die kurz vor dem Abschluss steht.
Die Lesart ist: Google, Facebook & Co, sowie im generellen die Daten-Handels-Lobbyisten versuchen den Datenschutz auszuhölen, indem wichtige Datenschutzkriterien wie z.B. die Zweckbindung und die Datensparksamkeit geschliffen werden sollen.
Tatsächlich ist alles natürlich viel komplizierter.
Zum einen kann für Google, Facebook & Co derzeit kaum etwas besseres passieren, als eine strenge EU-Datenschutzgrundverordnung, denn diese wird – trotz anderslautender Ankündigungen zum sog. “Marktortprinzip” – für US-Unternehmen in vielfacher Weise nicht gelten, insbs. weil es keine Bestrebungen gibt, das bilaterale Safe-Harbor Abkommen (bzw. die Entscheidung der EU-Kommission diesbzgl.) aufzuheben, das es US Unternehmen ermöglicht, durch eine einfache Erklärung (gegenüber US-Autoritäten) so behandelt zu werden, als wären Ihre Daten und Datenverarbeitungsprozesse auf EU-Level. Der Staatssekretär des BMI, Ole Schröder, hat noch vor wenigen Wochen auf einer Konferenz der FAZ in Berlin zum Thema gesagt, es gäbe keine Pläne Safe-Harbor aufzukündigen. Dies wird auch von anderen Stellen bestätigt. Hinzu kommen weitere Handels-Abkommen, die eine ähnliche Wirkung haben werden, wie z.B. das aktuell bekannt gewordene TISA.
Der Effekt für US-Unternehmen wäre also grob: höheres Datenschutz-Niveau für Digital-Unternehmen, die in der EU ansässig sind (mit ihrem Haupt-Sitz), und gleichbleibend lasche Regeln für US-Unternehmen. Warum sollte man dagegen anlaufen?
Tatsächlich wird die EU-Grundverordnung in vielen Bereichen eine deutliche Verschärfung des Datenschutz-Niveaus zur Folge haben, insbs. auch in anderen EU-Staaten, die bisher laschere nationale Regeln implementiert haben, aber auch in Deutschland. Denn hier gilt bisher z.B. der wichtige Absatz 15(3) des Telemediengesetzes, der die sog. “Pseudonymisierung” ermöglicht, und Unternehmen im Gegenzug erlaubt derart abgesicherte Daten ohne vorherige Zustimmung des Nutzers, sondern nur mit Widerspruchsmöglichkeit zu verarbeiten (Pseudonymisierung bedeutet, dass in einem Datensatz die Merkmale entfernt werden, die einen direkten Personenbezug ermöglichen). Diese Regel ist so nicht in der EU-Verordnung implementiert (zumindest nicht im Entwurf des Rates, aber selbst im Text des Parlamentes taucht das Prinzip nur bruchstückhaft auf). Das würde bedeuten, dass in Zukunft alle erhobenen Daten als personenbezogene Daten gelten und damit ein strenges Zustimmungs- oder Opt-In Regime einzieht*. Das ist ein bemerkenswerter Sieg der Datenschutz-Lobby, insbs. der Article-29 Working Party (Zusammenschluss von Datenschutz-Beauftragten in der EU mit quasi-amtlichem Status in Brüssel).
Natürlich wird seitens der Wirtschafts-Lobbyisten versucht, das noch aufzuweichen, insbs. über sog. “legitime Interessen”, aber der Versuch der Bundesregierung das Prinzip der Pseudonymisierung noch einzufügen wurde von den anderen EU-Mitglieds-Staaten mit grosser Mehrheit abgelehnt.
Was ich aus zwei Gründen für fatal halte, und da sind wir beim eigentlichen Problem.
Zum einen ist es fatal, weil Pseudonymisierung ein Datenschutz-Tool ist/war, und demzufolge auch von Datenschützern unterstützt wurde. Es war aber auch ein Incentive für Unternehmen mit speziellen Vorkehrungen besonders datenschutzfreundlich zu arbeiten, indem sie problematische Personenbezüge in den Daten entfernten oder gar nicht erst aufkommen liessen. Es wäre ein Verlust für datenschutzfreundliche Geschäftsmodelle, wenn diese Option wegfiele.
Nun aber zu meinem Haupt-Punkt: Ich glaube, wir stehen vor einem grösseren Problem und die Lösungen von Digitalcourage wären auch dann falsch, wenn die Annahmen bzgl. der Interessen von Lobbyisten alle richtig lägen.
Denn: Big-Data ist nicht böse. Natürlich hat es hochproblematische Anwendungsfälle und es gibt predictive policing, Aushölung der Solidarität im Gesundheitswesen über Daten-Tarife usw. – keine Frage. Aber ich bin auch davon überzeugt, dass Big-Data Anwendungen zu den wichtigsten Quellen für Innovation, Wohlstand und allgemein Zukunftstechnologien beitragen werden, vereinfacht: wer die Möglichkeiten von Big-Data erschwert, erschwert Innovation auf zahlreichen Gebieten. So sind zum Beispiel sowohl das selbstfahrende Auto (das in Zukunft viele Leben retten wird) als auch die unglaublichen Durchbrüche im Bereich automatisierter Übersetzungen Big-Data Anwendungen, die möglich wurden, weil massenhaft nicht zustimmungspflichtige Daten verfügbar waren, die auch keine Einschränkung hinsichtlich Zweckbindung aufwiesen (z.B. Übersetzungen von EU-Gesetzen, aber auch zig andere Quellen aus Diensten, die z.B. Sprachverarbeitung ermöglichen). Das britische Gesundheitssystem setzt gerade voll auf Innovationen und Effizienz-Effekte durch die Öffnung von ehemals strikt personenbezogenen und hoch-geschützten Gesundheitsdaten. Und das nicht, weil Daten-Lobbyisten das gewollt haben, sondern weil man das Innovationspotential einer offenen Datenpolitik selbst in so sensiblen Bereichen einfach heben muss, um die explodierenden Gesundheitskosten gegenfinanzieren zu können (so zumindest die Argumentation des NHS). Effekte, die z.B. einfach dadurch entstehen können, dass sowohl Patienten ihren kompletten Health-Record inkl. API zur Verfügung gestellt bekommen, als auch Unternehmen und Startups in pseudonymisierter Form (ja, da gibt es viele Diskussionen und Probleme).
Die altehrwürdigen Prinzipien von Zweckbindung und Zustimmungserfordernis sowie generell Datensparsamkeit greifen einfach nicht mehr für die Zukunft, das ist meine tiefe Überzeugung, denn wenn Big-Data Anwendungen eines nicht kennen, dann ist es Datensparsamkeit und Zweckbezug (vorab). Das widerspricht sich also im Kern.
Allerdings sollten die Prinzipien nicht einfach über Bord geworfen werden, keineswegs. Aber wir brauchen eine gemeinsame Anstrengung von Datenschützern, Politikern, Unternehmen und Lobbyisten (ja!) um neue Datenschutz-Prinzipien zu finden, die für das Big-Data Zeitalter taugen. Wenn die Datenschützer sich einfach hinter den alten Prinzipien verschanzen, hilft das niemandem. Genausowenig hilft es, wenn Unternehmen jetzt einfach loswurschteln (weil die Aufsicht total überfordert ist z.B.) oder PolitikerInnen irgendwelche Gesetze erlassen, nur damit mal Ruhe ist (ein bisschen passiert das gerade mit der Verordnung).
Wir müssen vermutlich noch mehr als das TMG mehrere Klassen von Daten einführen, und weiter über Pseudonymisierung und deren Absicherung nachdenken. Wir müssen vermutlich an vielen Stellen vom Prinzip der Zweckbindung abgehen, vll. auch indem neue Zwecke mit Zustimmung definiert werden können, vermutlich aber eher indem auf sog. risikobasierte Ansätze geswitched wird oder eben rechtliche Fragen im Moment der Anwendung von Daten (und nicht im Moment der Erhebung) relevant gemacht werden. Wir müssen sicher auch einen Bereich personenbezogener Daten definieren, der vll. noch stärker als bisher abgesichert wird. Wir müssen die im Digitalen viel leichter zu nutzenden Möglichkeiten der Transparenz wirksam in Gesetze und Praxis einziehen, z.B. indem Nutzer ihre Daten und deren Nutzung jederzeit nachverfolgen und auch nachjustieren können. Und ich würde sogar soweit gehen, dass es in bestimmten Bereichen regelrecht Prinzipien der Daten-Verschwendung geben muss, also maximale Daten-Erzeugung, Zugänglichmachung, Standardisierung etc.
Das wird schwierig und fundamental. Aber ich halte es für eine essentielle Aufgabe, wenn wir eine neue Balance von Schutz/Regulierung, Empowerment des Nutzers und Nutzungsmöglichkeiten für Unternehmen finden wollen.
*eine andere Lesart in einigen EU-Staaten ist übrigens dass pseudonymisierte Daten als “anonyme” Daten behandelt werden sollten und damit überhaupt nicht unter die Verordnung fallen (weil diese nur personenbezogene Daten regelt). In Deutschland sollte diese Lesart angesichts von 15(3) TMG und der jahrzehntelangen Praxis und Rechtsprechung dazu schwierig werden. Ein Outcome könnte also sein, dass in Zukunft solche Daten in Deutschland als unter die Verordnung fallend betrachtet werden, in Litauen aber zum Beispiel nicht – auch wenn solche Effekte durch die Verordnung an sich verhindert werden sollen. Jedenfalls wäre der Effekt wenn Pseudonymisierung in der VO geregelt würde, dass diese Daten-Klasse explizit in die Verordnung reinkäme, also in allen Ländern damit ein klares Improvement für den Datenschutz in der EU.