Kein Eigentum an Daten

MMR 2018, 277    Die Gedanken sind frei. Daten und Informationen auch. Beide Begriffe werden in Gesetzen austauschbar verwendet, z.B. in Art. 4 Nr. 1 Datenschutzgrundverordnung (DS-GVO). Sie bezeichnen Gedanken, Meinungen, Fakten und andere Inhalte und werden in einschlägigen Gesetzen von Eigentumsrechten freigehalten. Wenn Daten in einem Buch bewertet werden, so ist das Buchmanuskript urheberrechtlich geschützt, aber nicht die darin enthaltenen Daten an sich. Der Urheber kann das unerlaubte Kopieren seines Texts verbieten, nicht aber die Weiterverbreitung von im Text beschriebenen Fakten. Wird ein Wegweiser "Richtung Ortsmitte" auf einem Baum oder einer Hauswand angebracht, so gehören die mit dem Grundstück verbundenen Zeichen dem Grundstückseigentümer, aber nicht der damit erteilte Hinweis: den darf jeder nutzen und weiterverbreiten. Das Gleiche gilt für Daten auf einer Diskette oder einem Mobiltelefon: In der abgespeicherten Form (z.B. auf Langspielplatten oder CDs eingraviert oder elektronisch, optisch oder magnetisch abgebildet) gehören sie dem Eigentümer des Speichermediums. Dieser kann auf Grund von Eigentumsrechten andere vom physischen Zugriff auf das Speichermedium ausschließen. Seine Eigentumsrechte am Speichermedium beziehen sich aber nicht auf die Dateninhalte an sich, und wenn er diese anderen zugänglich macht, berechtigen ihn seine Eigentumsrechte am Speichermedium und den abgespeicherten Daten nicht dazu, anderen das Kopieren, Nutzen oder Weiterverbreiten von übermittelten Daten zu verbieten. Gesetze, die das Eigentum in all seiner Vielfalt regeln, ordnen Daten an sich aus guten Gründen niemandem zu.

Nicht ganz frei in Europa sind Datenbanken. Wer wesentlich in die Herstellung einer Datenbank investiert, kann anderen im europäischen Wirtschaftsraum die Entnahme und Verwendung wesentlicher Teile untersagen. Einzelne Daten sind aber wiederum ausdrücklich von Eigentumsrechten ausgenommen – nur wesentliche Teile der Investition sind zur Bewahrung der Lauterkeit im Geschäftsverkehr vor parasitärer Ausbeutung geschützt.

Gar nicht frei ist die automatisierte Verarbeitung von Daten in Europa. Unternehmen ist es in Europa seit Jahrzehnten grundsätzlich verboten, personenbezogene Daten zu verarbeiten. Die meisten Informationen, die Menschen interessant finden, beziehen sich mehr oder weniger direkt auf identifizierbare natürliche Personen und fallen als „personenbezogene Daten" unter Datenschutzgesetze, die grundsätzlich und gründlich alles verbieten: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung und die Verbreitung; selbst das Löschen und die Vernichtung sind als Verarbeitung von personenbezogenen Daten grundsätzlich erfasst und verboten.

Ausnahmen sind vorgesehen, erfordern aber einen erheblichen Aufwand (Determann, Datenschutz, 2017, S. 3 ff., 199 ff.). Unternehmen müssen jede Verarbeitung personenbezogener Daten rechtfertigen, einen gesetzlichen Erlaubnistatbestand finden und dokumentieren, vorab betriebliche Datenschutzbeauftragte und Aufsichtsbehörden konsultieren, Verzeichnisse von Datenverarbeitungstätigkeiten anlegen, detaillierte Belehrungen an Betroffene erteilen, Datenschutz-Folgenabschätzungen durchführen und erhebliche Nachweispflichten erfüllen. Betroffene dürfen ihre Einwilligung in Datenverarbeitungen jederzeit widerrufen. Sie haben Rechte auf kostenlose Kopien, Löschung, Berichtigung und Übertragung von Daten von einem Anbieter zum nächsten — auf Kosten der Unternehmen und letztlich der Allgemeinheit. In Fällen, in denen sich Unternehmen auf berechtigte Interessen berufen können, und nachweisen, dass ihre Datenverarbeitung Betroffene nicht übermäßig beeinträchtigt, können Betroffene dennoch jederzeit Widerspruch einlegen und einem Unternehmen die weitere Verarbeitung personenbezogener Daten untersagen, es sei denn, das Unternehmen kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, welche die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen (Art. 21 DS-GVO). Kein Wunder, dass relativ wenige europäische Unternehmen im IT-Bereich wirklich erfolgreich sind. Innovation und Weltmarktführer kommen aus den USA und zunehmend aus Asien.

Europäer sind stolz auf ihre neue DS-GVO, die weltweit strengste Reglementierung automatisierter Datenverarbeitung. Sie sehen aber auch mit Sorge, dass europäischen Unternehmen Erfolg in zukunftsträchtigen IT-Bereichen praktisch unmöglich gemacht wird. Künstliche Intelligenz braucht Daten, mit denen Computerprogramme lernen können, etwa Gesprächsaufzeichnungen zur Spracherkennung und Bilder zur Gesichtserkennung und Straßenverkehrsdaten für selbstfahrende Autos müssen sicher erkannt werden. Autohersteller, Technologieentwickler und Straßenplaner brauchen dringend Daten, um Gefahren zu erkennen, Sicherheitsvorkehrungen zu verbessern und den Straßenverkehr der Zukunft zu gestalten. Sie können aber nur in wenigen Fällen mit einigermaßen vertretbarem Aufwand sicherstellen, dass sie die benötigten Daten im Einklang mit EU-Datenschutzrecht erheben, nutzen oder gar mit anderen Unternehmen oder staatlichen Stellen rechtmäßig austauschen dürfen.

Was ist zu tun? Deregulierung liegt nahe, da die Probleme durch Überregulierung des Datenschutzes entstanden sind. Zusätzliche Ausnahmen von Verboten und Restriktionen in europäischen Datenschutzgesetzen könnten Datentransfers zwischen vernetzten Autos, Fahrern, Haltern, Automobilherstellern, Softwareentwicklern und Verkehrsplanern erlauben. Offene Schnittstellen und Geschäftsmodelle sind nötig, um Fortschritt und Sicherheit im Straßenverkehr und Internet der Dinge der Zukunft zu ermöglichen (s. Determann/Perens, Open Cars, Berkeley Technology Law Journal 32, 915 - 2017).

Was wird vorgeschlagen? Mehr Regulierung! Die EU-Kommission und die Mitgliedstaaten plädieren für zusätzliche Regulierung auf EU-Ebene (Digitale Binnenmarktstrategie, Industrie 4.0) und neue Gesetze, insbesondere neue Eigentumsrechte an Daten, um einen "Markt für Daten" und „hohe wirtschaftliche Gesamtwertschöpfung“ zu ermöglichen (s. Studie des BMVI, „Eigentumsordnung“ für Mobilitätsdaten, 4.4).

Wirklich? Der Plan, die durch Datenschutzüberregulierung entstandenen Technologie- und Wettbewerbsbehinderungen durch zusätzliche Ausschließlichkeitsrechte und Verbote ausgleichen zu wollen, mutet absurd an. Erst wird per DS-GVO Datenverarbeitung grundsätzlich verboten. Sodann sollen freie Märkte für Daten und Datenwertschöpfung durch Eigentumsrechte gefördert werden. Gleich nachdem die hochgejubelte Datenschutznovelle die informationelle Selbstbestimmung in Europa auf den weltweit höchsten Standard bringen soll, wird ein Eigentumsrecht an personenbezogenen Daten für Autohersteller erwogen. Zusätzliche Regulierung durch Eigentumsrechte an Presseartikeln hat europäischen Zeitungen allerdings so wenig geholfen, wie Dateneigentumsrechte den deutschen Autoherstellern gegen Technologieunternehmen aus dem Silicon Valley oder China helfen können (Hornung/Goeble, CR 2015, 265, 272).

Zur Regulierung auf Schritt und Tritt käme Datenreglemetierung einen Schritt vor und zwei Schritte zurück. Genauso wie Deutschland erst soziale Netzwerkbetreiber zwingt, jedem zu erlauben, Kommentare anonym zu veröffentlichen, dann vom Ansteigen anonym veröffentlichter Hasstriaden entsetzt ist, und anschließend den Unternehmen in einem "Netzwerkdurchsetzungsgesetz" zusätzliche Zensurpflichten auferlegt -- anstatt den Unternehmen zu erlauben, von Kommentatoren die Selbstidentifizierung zu verlangen, was weltweit üblich ist. Oder wie sich die Bundesregierung lautstark beschwert, dass der Zugriff von Geheimdiensten auf Internet-Metadaten erhebliche Nachteile für die informationelle Selbstbestimmung bedeutet, zugleich aber gesetzlich verlangt, dass Unternehmen Internet-Metadaten für Mindestzeiträume vorhalten und in Deutschland speichern, um besseren Zugang für deutsche Behörden zu gewährleisten, die mit alliierten Geheimdiensten bestens zusammenarbeiten (Determann, NVwZ 2016, 561; Determann/Weigl, Data Residency Requirements Creeping into German Law, Bloomberg BNA Privacy & Security Law Report, 15 PVLR 529 (3/14/16)).

Auf freien Weltmärkten haben sich schon längst effektive Geschäftsmodelle mit Daten etabliert: Unternehmen haben seit Jahren Dienste entwickelt, die durch Werbung und Datenverwendung finanziert sind und Verbrauchern innovative Dienste anbieten, die sich auf Bezahlbasis nie hätten etablieren können: Privatfernsehen, E-Mail, Navigation, soziale Netzwerke, Internet-Suchmaschinen, Lexika, Videos, Musik, Verbraucherbewertungen und vieles mehr. Daten gegen Dienste. Wenige zahlen für werbefreie Dienste oder wählen nur Dienste, die nicht auf Datenmonetisierung beruhen. Die meisten Verbraucher finden die meisten werbefinanzierten Geschäftsangebote gut - und wollen nicht mit Geld bezahlen (Determann, Social Media Privacy - 12 Myths and Facts, 2012 Stanford Technology Law Review 7 - 2012).

Europäischen Politikern gefällt diese durch freie Marktkräfte etablierte Datenwirtschaft nicht. Vielleicht, weil die führenden Anbieter in Übersee sitzen und die heimische Wirtschaft nicht wettbewerbsfähig ist. Vielleicht, weil ihnen neuartige Dienste unnötig erscheinen. Vielleicht, weil das Modell zu unkompliziert, unbürokratisch und effektiv ist. Sie wollen nun neue Regulierung und Dateneigentumsgesetze schaffen, um Märkte umzugestalten.

Manche wollen Dateneigentumsrechte für Datenhersteller, z.B. Autobauer. Andere wollen, dass jeder Eigentumsrechte an Daten über sich selbst erhält, die er dann an Datenbörsen verkaufen kann (allerdings dann auch i.R.e. Zwangsvollstreckung verlieren könnte). Am Ende der Wertschöpfungskette dürften jedenfalls Unternehmen Eigentum an Daten halten.

Wie soll aber nach dem Datenverkauf die informationelle Selbstbestimmung des ausverkauften Bürgers noch geschützt werden? Wie soll die Datenbörse funktionieren, wenn die betroffenen Datenverkäufer ihre Einwilligungen jederzeit widerrufen können? Soll bei jedem Weiterverkauf am Datenmarkt jedem Betroffenen von jedem Käufer und Verkäufer jedes Mal eine DS-GVO-Datenschutzbelehrung erteilt und Gelegenheit zum Widerspruch gewährt werden? Wie setzt der Bürger die Dateneigentumsrechte durch - vor Gericht und Datenschutzbehörden? Durch kollektive Verwertungsgesellschaften, weil das schon so gut im Urheberrechtsbereich funktioniert? Durch Datentrolle, die sich hinter Patent- und Urheberrechtstrollen einreihen und Unternehmen mit rechtsmissbräuchlichen Klagen belästigen? Wie soll der Staat planen, Straftaten verfolgen und Attentate verhindern, wenn er nicht nur Datenschutzrechte betroffener Bürger, sondern auch noch Dateneigentumsrechte von Unternehmen achten muss? Wird der datenverkaufende und -handelnde Bürger die vermutlich relativ geringen Datenverkaufspreise versteuern? Einkommens- und Mehrwertsteuer? Wie auch immer die noch geschuldeten Antworten auf diese schwierigen Fragen ausfallen werden, eins scheint sicher: Mit Dateneigentumsrechten wird alles noch komplizierter und bürokratischer. Ob die europäischen Bürger das zu schätzen wissen, wenn sie ihr Datenausverkaufseinkommen versteuern und zudem auf gratis Online-Dienste verzichten müssen, scheint mehr als fraglich.

Aber von praktischen Problemen einmal abgesehen, stehen einem Dateneigentumsrecht auch ernste verfassungsrechtliche und rechtspolitische Erwägungen entgegen: Meinungs-, Forschungs- und Informationsfreiheit, Informationelle Selbstbestimmung und wirtschaftliche Betätigungsfreiheit (Determann, No One Owns Data. Aus guten Gründen nehmen herkömmliche Eigentumsgesetze Daten vom Schutzbereich aus, um Rechte der Eigentümer mit Rechten der Allgemeinheit in angemessenen Einklang zu bringen. Falls es einen deutschen oder europäischen Alleingang geben sollte, wie schon beim Datenbankrechtschutz, werden territorial beschränkte Eigentumsrechte international kaum durchgesetzt werden. Die zusätzliche Regulierung würde Industrien und Innovation in Europa noch weiter behindern.

Es bleibt dabei: Die Gedanken sind frei.

Palo Alto, im Mai 2018

 

 

Prof. Dr. Lothar Determann

ist apl. Professor an der FU Berlin und Partner bei Baker McKenzie in Palo Alto.

 

 

 

 


Die DS-GVO in den Startlöchern: Anfangszauber oder Reise ins Ungewisse?

MMR 2018, 197   Am 25.5.2018 ist es endlich soweit: Die DS-GVO - mit viel Schweiß erarbeitet, mit herber Kritik bedacht, von großen Hoffnungen begleitet - erlangt ihre Wirksamkeit. Die supranationale Datenschutzregulierung in Europa tritt damit in eine neue Phase ein. Viele Regelungen sind neu und ersetzen - insbesondere im Bereich der Wirtschaft - die bisher bestehenden. Zugleich aber bleiben - insbesondere im Bereich der Verwaltung - die umfassenden nationalen Gesetze mit ihren historisch gewachsenen Besonderheiten - oft nur sprachlich korrigiert - weiterhin bestehen. Zu wie viel Reform und zu wie viel Kontinuität die DS-GVO beiträgt, wird erst die Zukunft zeigen.

Die Vorbereitungen in der Wirtschaft und in der Verwaltung für die Anwendung der Verordnung sind - so lässt sich hoffen - ab-geschlossen. Praktiker, Berater und insbesondere die Aufsichtsbehörden haben in den letzten Monaten und Jahren viel Arbeit in die Vorbereitung auf den 25. Mai investiert. Sie werden sich an diesem Tag mutmaßlich in dem Bewusstsein ein Glas Sekt gönnen, dass noch viel mehr Arbeit auf sie zukommt. Nicht jeder organisatorische Ablauf wird wie geplant funktionieren, nicht jeder die geforderten Dokumentationen fertiggestellt oder eine erforderliche Datenschutzfolgenabschätzung durchgeführt haben, die erste Ausübung des Rechts auf Datenübertragbarkeit an einer völlig ungeahnten Stelle auftreten, Zulieferer werden die Zusicherung verweigern, dass ihre Teilprodukte Grundverordnungs-konform sind. Ohnehin werden bestimmte Mechanismen der Grundverordnung auch am 25. Mai noch nicht greifen, weil es wie bei den Zertifizierungsmechanismen bisher an den notwendigen Voraussetzungen fehlt.

Derartige Kinderkrankheiten sind allerdings keine Besonderheit der DS-GVO, sondern Begleiterscheinungen jeder grundlegenden Neustrukturierung eines wichtigen Rechtsgebiets. Umso stärker steht zu erwarten, dass Verantwortliche und Auftragsverarbeiter sich gegenseitig beäugen und versuchen, voneinander zu lernen. Im Besonderen werden die Aufsichtsbehörden im Fokus der Aufmerksamkeit stehen, und das gleich europaweit. Die völlig zu Recht massiv angehobenen Bußgeldrahmen waren in den letzten zwei Jahren ein zentrales Argument dafür, die Implementierung der Grundverordnung in den Unternehmen zu priorisieren. Dementsprechend steht zu erwarten, dass die ersten Bußgeldentscheidungen der Behörden sich wie ein Lauffeuer in der ganzen Union verbreiten werden.

Bei aller berechtigten Fokussierung auf die Praxis, die ab dem 25. Mai mit den neuen Regeln arbeiten muss, darf freilich nicht übersehen werden, dass dieses Datum auch einen markanten Wegstein in der Wissenschaft vom Datenschutzrecht bildet. Die anerkannten Grundsätze des Datenschutzrechts werden in Art. 5 DS-GVO präzisiert und fortentwickelt, aber die Komplexität der gesamten Materie wird eher verschoben als reduziert. Es treten neue Regulierungsmechanismen hinzu, das Gewicht der Regulierung verschiebt sich weg vom Gesetzgeber hin auf die Exekutive, und dieser Bereich der Exekutive erhält mit dem Europäischen Datenschutzausschuss einen neuen Akteur, für den es weder auf der Unionsebene noch in den Mitgliedstaaten ein Vorbild gibt. Das Wirksamwerden der Grundverordnung sollte deshalb nicht nur Anlass für Betriebsamkeit in der Praxis, sondern auch für eine fundierte Zwischenbilanz und Abschätzung der kommenden wissenschaftlichen Herausforderungen sein.

Auffällig gegenüber dem bisherigen deutschen Datenschutzrecht ist der Umstand, dass die Datenschutzgrundsätze in Art. 5 DS-GVO erstmals ausdrücklich aufgeführt werden. Während sie in Art. 6 DS-RL nur Zielsetzungen für den nationalen Gesetzgeber waren, die dieser gerade nicht wörtlich übernommen hat, sind sie jetzt als Bestandteil einer Verordnung nach Art. 288 Abs. 2 AEUV unmittelbar verbindlicher Teil des deutschen Datenschutzrechts. Dieser Wechsel von der Richtlinie zur Verordnung wirft aber mehr Fragen auf als er löst. Die Erwähnung der Grundsätze in vielen anderen Artikeln der Verordnung, insbesondere in Art. 23 und 82 DS-GVO, legen nahe, dass sie unmittelbar verbindlich und anwendbar sind. Als Grundsätze sind sie jedoch kein Befehl, der schlicht zu befolgen ist, sondern Beschreibungen eines Idealzustands, der jeweils immer mehr oder weniger gut erreicht werden kann. Unabhängig von ihrer Charakterisierung als Optimierungsvorgabe oder als unmittelbar vollziehbarer Rechtsbefehl stellt der Verstoß gegen einen Grundsatz die Rechtmäßigkeit der Datenverarbeitung in Frage. Daran schließt sich aber sogleich die Frage an, ob ein solcher Verstoß die Zulässigkeit der Datenverarbeitung betrifft. Dann wäre Art. 5 DS-GVO als weitere Voraussetzung neben einem Erlaubnistatbestand nach Art. 6 Abs. 1 oder Art. 9 Abs. 2 DS-GVO anzusehen. Oder begründen die Datenschutzgrundsätze nur Handlungspflichten für den Verantwortlichen, wenn er eine Datenverarbeitung durchführt? Je nach Einordnung der Grundsätze ist dann auch die Frage zu beantworten, wie ihre Einhaltung durch die betroffene Person durchgesetzt, von der Aufsichtsbehörde eingefordert und als Verstoß sanktioniert werden kann.

Eine wichtige Änderung führt die DS-GVO paradoxerweise dadurch herbei, dass sie eine zentrale Regelung der Datenschutz-Richtlinie (DS-RL) gerade beibehält. Indem Art. 6 Abs. 1 DS-GVO die Rechtmäßigkeitstatbestände des Art. 7 DS-RL im Wesentlichen nicht modifiziert, werden - jedenfalls für den nicht-öffentlichen Bereich - typisierende gesetzgeberische Interessenabwägungen wie in den §§ 28 ff. BDSG a.F. und §§ 12 ff. TMG im Anwendungsbereich der Verordnung unzulässig. An ihre Stelle tritt für so unterschiedliche Technologien und Geschäftsmodelle wie die Videoüberwachung, die Direktwerbung, den Adresshandel, die Markt- und Meinungsforschung oder Bewertungsportale im Internet die Interessenabwägung nach Art. 6 Abs. 1 1. Unterabs. lit. f DS-GVO. Auch die von der Verordnung nicht adressierten Herausforderungen moderner Datenverarbeitungstechnologien wie Ubiquitous Computing, Big Data, Künstliche Intelligenz und viele weitere sollen mit diesem Erlaubnistatbestand gesteuert werden. Es ist offensichtlich, dass man dem Tatbestand von Art. 6 Abs. 1 1. Unterabs. lit. f DS-GVO im Wege der Auslegung so gut wie keine Antworten zur grundsätzlichen Zulässigkeit und zu den Anforderungen an diese Datenverarbeitungen entnehmen kann, sondern nur im Wege der Dezision. Es bedarf also einer Entscheidung durch Selbstregulierung, Aufsichtsbehörden oder Gerichte. Der europäische Gesetzgeber vertraut hier offensichtlich weithin in die Konkretisierungsleistung des Europäischen Datenschutzausschusses. Je besser dieser allerdings die ihm zugedachte Aufgabe in diesem Bereich erfüllt, desto stärker werden sich Legitimationsfragen für das neue Gremium stellen, die bisher noch nicht einmal andiskutiert sind.

Die wirkliche Innovation in der DS-GVO sind ihre Regelungen zur Datenschutz-Governance. In 26 Artikeln werden Stellung, Aufgaben, Befugnisse und Zusammenarbeit der Aufsichtsbehörden untereinander und im Europäischen Datenschutzausschuss geregelt. Dabei entsteht ein Spannungsverhältnis zwischen der Sicherung der „völligen“ Unabhängigkeit jeder einzelnen Aufsichtsbehörde (Art. 52 Abs. 1 DS-GVO) und des einheitlichen Vollzugs der Verordnung in der Union. Wie der EuGH in drei Entscheidungen zur Stellung der Aufsichtsbehörde in Deutschland, in Österreich und in Ungarn festgestellt hat, darf niemand der unabhängigen Aufsichtsbehörde Weisungen erteilen. Genau dies aber erlaubt Art. 65 Abs. 6 DS-GVO dem Europäischen Datenschutzausschuss. Er kann Entscheidungen treffen, die die betreffende Aufsichtsbehörde binden. Diese ist insoweit nicht mehr unabhängig, sondern muss die Entscheidung der Mehrheit der anderen Aufsichtsbehörden im Ausschuss befolgen. Auch in Deutschland wird die einzelne Aufsichtsbehörde im „kleinen Kohärenzverfahren“ nach § 18 BDSG-neu in ihrer Entscheidung von der Mehrheit der anderen Aufsichtsbehörden abhängig. Die Einheitlichkeit des Vollzugs in der Union wird wohl ohne Koordination der Aufsichtsbehörden nicht zu erreichen sein und diese Koordination kann nur nach dem Mehrheitsprinzip erfolgen. Dennoch ist zu konstatieren, dass die Mehrheit die einzelne Aufsichtsbehörde zwingen kann und Art. 65 DS-GVO die in Art. 52 DS-GVO garantierte Unabhängigkeit „auf dem Altar“ des einheitlichen Vollzugs „opfert“. Ob dies mit der Zusicherung des Art. 8 Abs. 3 GRCh zu vereinbaren ist, dass die „Einhaltung“ des Datenschutzrechts „von einer unabhängigen Stelle überwacht“ wird, wird noch zu diskutieren sein.

Kassel, im April 2018

 

Prof. Dr. Alexander Roßnagel

 

 

 

 

Prof. Dr. Gerrit Hornung

 

 

 

 

sind die Leiter der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) im Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel.

Grundlegende Fragen zur DS-GVO werden am 14.5.2018 auf der Tagung „Datenschutz-Grundverordnung - eine neue Ära des Datenschutzes?“ im Gießhaus der Universität Kassel erörtert. 

 

 

 


Große Koalition, wenig Datenschutz?

MMR 2018, 125 Wenn Sie dieses Editorial lesen, sind die Stimmzettel beim SPD-Mitgliederentscheid ausgezählt und es steht fest, ob die Bundesregierung erneut von einer großen Koalition gebildet wird, ob es Neuwahlen gibt oder etwa eine Minderheitsregierung. Sie sind also schlauer als der Autor dieser Zeilen, der das Ergebnis nicht kennt und trotz dieser Unsicherheit den ausgehandelten Koalitionsvertrag darauf durchgesehen hat, was die neue "GroKo" für den Datenschutz bedeutet.

 Während in den Ergebnissen der zwischen CDU, CSU und SPD geführten Sondierungsgespräche das Thema überhaupt nicht erwähnt wurde, finden sich in der Koalitionsvereinbarung sogar recht viele Aussagen zum Datenschutz, allerdings verteilt über den gesamten Text.

 

Befugnisse der Sicherheitsbehörden

Im Koalitionsvertrag wird kein massiver Grundrechtsabbau zu Gunsten der Sicherheitsbehörden angekündigt. Das ist angesichts der Erfahrungen der letzten Legislaturperiode, in der die Vorratsdatenspeicherung wieder eingeführt und diverse weitere Gesetzesverschärfungen beschlossen wurden, fast schon eine positive Nachricht. Im Hinblick auf die Weiterentwicklung der Befugnisse der Sicherheitsbehörden enthält der Text unscharfe Aussagen, die erheblichen Interpretationsspielraum lassen. Dies gilt etwa für das Bekenntnis, den Sicherheitsbehörden "gleichwertige Befugnisse im Umgang mit dem Internet wie außerhalb des Internets" einzuräumen. Es dürfe für die Befugnisse der Polizei zu Eingriffen in das Fernmeldegeheimnis zum Schutz der Bevölkerung "keinen Unterschied machen, ob die Nutzer sich zur Kommunikation der klassischen Telefonie oder klassischer SMS bedienen oder ob sie auf internetbasierte Messenger-Dienste ausweichen". Dies kann man als Bekenntnis zur Quellen-Telekommunikationsüberwachung verstehen, die dem Bundeskriminalamt schon vor einigen Jahren eingeräumt worden war, oder aber zum "Bundestrojaner", den die GroKo am Ende der Legislaturperiode im Eildurchgang durchsetzte. Ob entsprechende Befugnisse erweitert werden sollen, lässt die Formulierung nicht erkennen.

Ähnlich unbestimmt sind die Aussagen zur Cyberkriminalität. Deren Verfolgung und Prävention will die Koalition "durch die Schaffung notwendiger rechtlicher organisatorischer sowie technischer Rahmenbedingungen" verbessern. Ist damit die Ausweitung der Vorratsdatenspeicherung auf Internetdienste gemeint oder gar das "Hack Back", also die Befugnis der Sicherheitsbehörden, vermeintlich für Cyberangriffe genutzte Systeme anzugreifen und stillzulegen, wie sie kürzlich vom Präsidenten des Bundesamts für Verfassungsschutz gefordert wurde? Oder soll die Zentralstelle für Informationstechnik der Sicherheitsbehörden (ZITIS) ausgebaut werden, die sich mit der Sammlung von Zero-Day-Exploits und anderer Sicherheitslücken in IT-Systemen befasst?

Etwas kryptisch mutet auch die von den Koalitionsparteien formulierte Absicht an, "dass die Sicherheitsbehörden ihre bestehenden Befugnisse auch in der digitalen Welt anwenden und tatsächlich durchsetzen können." Dies erinnert an die Initiative des (Noch-)Bundesinnenministers de Maizière, der sich vor einigen Monaten für Hintertüren in IT-Systemen stark gemacht hatte, damit Lausch- und Überwachungsbefugnisse nicht durch technische Sicherungen erschwert werden. Zudem sind sich die Koalitionsparteien bewusst, "dass auch maßvolle und sachgerechte Kompetenzerweiterungen des BfV eine gleichzeitige und entsprechende Ausweitung der parlamentarischen Kontrolle erfordern." Welche Befugnisse im Einzelnen gemeint sind und ob es sich "nur" um die Verlagerung von Länderkompetenzen zum Bund handelt, bleibt weitgehend unklar.

Sehr zu begrüßen ist das Bekenntnis der Koalitionäre zu einer "evidenzbasierten Kriminalpolitik", in die sozialwissenschaftliche und kriminologische Erkenntnisse einfließen. Die neue Koalition hat angekündigt, "dass kriminologische Evidenzen sowohl bei der Erarbeitung von Gesetzentwürfen als auch bei deren Evaluation berücksichtigt werden". Dabei soll die langfristige Kriminalitätsentwicklung in den Blick genommen werden, auch indem die Arbeit an den "periodischen Sicherheitsberichten" endlich wieder aufgenommen werden soll. Angesichts dieser Formulierungen drängt sich geradezu die Frage auf, wie die vielen in den letzten Jahren beschlossenen Sicherheitsgesetze zu Stande gekommen sind und warum bisher nicht einmal der Versuch einer ernsthaften unabhängigen Gesetzesevaluation unternommen wurde.

 

Ambivalente Aussagen zum Datenschutz

Und der Datenschutz? Während in Fachkapiteln versprochen wird, Innovationen "unter Beachtung des Datenschutzes" voranzubringen (etwa beim automatisierten Fahren oder im Gesundheitswesen), fehlt ein entsprechendes Bekenntnis im eigentlichen Datenschutzkapitel, das im Abschnitt "Moderner Staat" untergebracht ist. Eigentlich hätte man hier Aussagen erwartet, wie angesichts der Digitalisierung das Grundrecht auf informationelle Selbstbestimmung gestärkt werden soll. Davon findet man hier allerdings nichts. Stattdessen will die Koalition die Mitte 2020 anstehende Evaluierung der Datenschutz-Grundverordnung "intensiv begleiten und dabei alle Regelungen auf ihre Zukunftsfähigkeit und Effektivität überprüfen." Angesichts des Fehlens jeder Aussage zur Evaluation der vielfältigen seit 2001 beschlossenen Sicherheitsgesetze fällt die Entschiedenheit auf, mit der man sich kritisch mit der wichtigsten der in den letzten Jahren eingeführten Datenschutzregelungen auseinandersetzen will, die ja erst ab dem 25.5.2018 wirksam wird.

An anderer Stelle findet sich die Aussage, die Bundesregierung solle die Datenschutz-Grundverordnung "innovationsfreundlich" anwenden - was immer das heißen mag. Ärgerlich ist das nicht nur hier stattfindende Framing, wonach Datenschutz und Innovation Gegensätze bilden. Nichts liest man davon, dass Datenschutz auch als Wettbewerbsvorteil funktionieren kann, etwa weil Europa hier sehr viel stärker zur Vertrauensbildung in digitale Dienste beiträgt als die Konkurrenz aus Übersee.

Wie die Koalition ihre Daten(schutz)politik gestalten will, wird etwa darin erkennbar, dass sie zügig klären will, "ob und wie ein Eigentum an Daten ausgestaltet sein kann". Dass diese Frage im Datenschutzkapitel thematisiert wird, bedeutet, dass es dabei auch um Eigentum an personenbezogenen Daten geht - ein Konstrukt, das man eher im amerikanischen Rechtsraum ansiedelt, wo es ein Grundrecht auf Datenschutz eben nicht gibt.

Der Beschäftigtendatenschutz wird zwar an mehreren Stellen des Koalitionsvertrags angesprochen. Zu mehr als einem Prüfauftrag, wie die Öffnungsklausel der Datenschutz-Grundverordnung genutzt werden soll, konnten sich die Koalitionspartner in spe allerdings nicht durchringen. Ob es ein eigenständiges Gesetz zum Beschäftigtendatenschutz geben wird, bleibt also weiterhin offen.

Die Stiftung Datenschutz, ein ungeliebtes Erbe der 2013 beendeten christlich-liberalen Koalition, soll zwar weiter gefördert werden. Auf konkretere Aussagen lässt sich der Vertragsentwurf aber nicht ein, sodass offen bleibt, ob die Stiftung zukünftig weiterhin auf ihr Existenzminimum reduziert bleibt oder tatsächlich neue Handlungsmöglichkeiten erhält.

Während im Datenschutzkapitel Aussagen zum aktuell in Brüssel verhandelten Entwurf einer ePrivacy-Verordnung fehlen, gibt es an anderer Stelle mehrere Verweise darauf. So wollen sich die Koalitionspartner auf EU-Ebene "für eine E-Privacy-Verordnung einsetzen, die im Einklang mit der EU-Datenschutz-Grundverordnung die berechtigten Interessen von Verbraucherinnen und Verbrauchern und Wirtschaft angemessen und ausgewogen berücksichtigt." Auch wollen sie "ein hohes Schutzniveau für die Vertraulichkeit von Kommunikationsdaten bei der E-Privacy-Verordnung und zugleich den Spielraum für Innovation und digitale Geschäftsmodelle" erhalten. Im Rahmen der ePrivacy-Verordnung soll schließlich auch die "Daten-Souveränität" gestärkt werden. Angesichts der massiven Lobbykampagnen in Brüssel gegen einen verbesserten Datenschutz in der digitalen Kommunikation wäre etwas mehr Klarheit wünschenswert gewesen.

Enden soll diese Bewertung mit einem positiven Aspekt: Die Koalitionspartner wollen sich "für eine Stärkung der Kompetenz der Nutzerinnen und Nutzer sowie für mehr Transparenz und ,Privacy by Default` und ,Privacy by Design` auf Seiten der Anbieter" einsetzen. Sie wollen die Ende-zu-Ende-Verschlüsselung fördern und digitaler Diskriminierung entgegenwirken.

Die Erfahrung lehrt, dass die in Koalitionsverträgen vereinbarten Positionen nicht 1:1 zu Regierungshandeln werden. Aber sie geben Auskunft über die Vorsätze und damit auch über die grundlegenden Sichtweisen der Koalitionäre. Trotzdem oder gerade deshalb sollte die Einlösung der eher bescheidenen Versprechen eingefordert werden, den Datenschutz in den nächsten vier Jahren voranzubringen.

Berlin, im März 2018

 

Peter Schaar

ist Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin und Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a.D.

 

 

 

 

 


Meinungsbildung im Netz: Die Macht der Algorithmen

MMR 2017, 721    Algorithmen organisieren und bestimmen unser Leben immer häufiger. Sie helfen nicht nur, die Informationsflut im Internet zu bewältigen, sondern kommen auch bei der Kredit- und Jobvergabe, bei der Polizei oder vor Gericht zum Einsatz. Automatisierte Entscheidungsfindungen sind auf diesem Weg in viele Lebens- und Gesellschaftsbereiche vorgedrungen, und mit ihnen die Auseinandersetzung um den "Algorithmic Bias". Denn über ihre Wirkung wird viel spekuliert. Kürzlich konnte man in der Wochenzeitung DIE ZEIT lesen, dass das Wort Algorithmus mittlerweile so negativ besetzt ist wie der Name Darth Vader - eine legendäre Filmfigur, die von der dunklen Seite der Macht verführt wird.

Die eigentliche Macht besitzen vor allem die Internetunternehmen, die für die Entwicklung der Algorithmen verantwortlich sind. Denn wenige kapitalstarke Tech-Giganten dominieren den Markt, sodass algorithmenbasierte Governance fast ausschließlich in der Hand privater Unternehmen liegt. Damit einher geht das Problem, dass diese Unternehmen die zu Grunde liegenden Algorithmen nicht nur relativ beliebig gestalten, sondern als "Black Box" auch intransparent bleiben, d.h. exklusiv in der Hand privatwirtschaftlicher Unternehmen entwickelt und kontrolliert werden. So wissen die Nutzer wenig über die Funktionsweisen von Algorithmen, sind aber auch im Glauben, dass Suchmaschinen z.B. relativ objektive Ergebnisse liefern. Insgesamt sind solche Prozesse bei vielen Menschen noch nicht präsent und das erklärt auch den negativen Tenor in der Berichterstattung.

In der medienpolitischen Auseinandersetzung hat sich der Begriff der Intermediäre bzw. Informationsintermediäre etabliert. Informationsintermediäre wie soziale Netzwerkplattformen oder Suchmaschinen erbringen vor- und/oder nachgelagerte Vermittlungsfunktionen, indem sie Informationen sammeln, strukturieren, gewichten und aggregieren. Dadurch nehmen sie entscheidenden Einfluss darauf, welche Inhalte für die Nutzer überhaupt auffindbar, sichtbar und damit wahrnehmbar sind, und bestimmen als Filter über die Vielfalt der genutzten Online-Inhalte mit. Noch vor wenigen Jahren wurde Informationsintermediären lediglich eine mittelbar inhaltliche Einflussnahme auf die Prozesse individueller und öffentlicher Meinungsbildung zugeschrieben, da sie in der Regel selbst keine Inhalte erstellen oder ändern, sondern vielmehr den Grad bzw. die Wahrscheinlichkeit der Auffindbarkeit der an anderer Stelle vorhandenen Inhalte steuern. Diese Sichtweise hat sich allerdings in den letzten Jahren deutlich verändert.

Mittlerweile wird nicht nur die Vermittlerrolle wegen möglicher Manipulations- und Missbrauchsgefahren viel kritischer beurteilt, sondern auch der Diskurs um die Leistungen, Funktionen und Auswirkungen algorithmischer Selektion im Internet hat sich intensiviert. Zunehmend werden Fragen diskutiert, die sich damit beschäftigen, wie viel Verantwortung Informationsintermediäre tragen können und sollen, inwieweit die Funktionen von Algorithmen öffentliche Kommunikation systematisch und nachhaltig beeinflussen und wie Algorithmen den Journalismus selbst verändern. D.h., die gesellschaftliche Debatte um die sozialen, kulturellen und politischen Folgen des "algorithmic turn" ist voll entbrannt.

Selbst die Politik hat sich diesem Thema bereits angenommen. Der scheidende Bundesjustizminister Heiko Maas hat im Sommer 2017 das Netzwerkdurchsetzungsgesetz auf den Weg gebracht. Es sieht gesetzliche Compliance-Regeln für soziale Netzwerke vor, um die Anbieter zu einer zügigeren und umfassenderen Bearbeitung von Beschwerden von Nutzern anzuhalten. Das Gesetz will insbesondere Hass und Hetze in sozialen Netzwerken wirksamer als bisher bekämpfen. Kritiker bemängeln nicht nur, dass die Rechtsdurchsetzung in private Hände gelegt wird, sondern fürchten auch ein "Overblocking". Die Betreiber könnten im Zweifel lieber zu viele Inhalte entfernen, deshalb sehen insbesondere Interessenverbände, Bürgerrechtler und Juristen in dem Gesetz eine Gefahr für die Meinungsfreiheit.

Kontrovers diskutiert wird nach wie vor die Frage der tatsächlichen Bedeutung der Informationsintermediäre für die Meinungsbildung - insbesondere vor dem Hintergrund, dass sie sich zunehmend als politische Informationsquelle etablieren. Kaum eine andere Metapher ist so populär im Kontext der Diskussion geworden wie die der Filterblase. Die These, die vor ein paar Jahren durch das Buch des Internetaktivisten Eli Pariser bekannt wurde, bezieht sich ganz konkret auf die Personalisierungslogiken von Facebook. Denn das auf ein Individuum persönlich zugeschnittene Informationsangebot der Plattform erlaubt eine hochspezialisierte Nutzung. Rezipienten können - sei es durch eigenes Bestreben oder durch algorithmische Suggestion - in sog. Filterblasen geraten, in denen sie von gesellschaftlich relevanten Diskussionen weitgehend abgekoppelt sind, bzw. sich in die Nischen von Paralleldiskursen, auch "Echokammern" genannt, begeben, da sie von den personalisierten Algorithmen nur noch Nachrichten vorgesetzt bekommen, die ihr Weltbild bestätigen.

Aber ist die Sorge um Filterblasen wirklich gerechtfertigt? Aus der wissenschaftlichen Perspektive ist der Forschungsbedarf enorm, denn gerade was die Meinungsbildungsrelevanz von sozialen Netzwerkplattformen angeht, gibt es zahlreiche Forschungslücken. Unsere aktuelle Studie - gefördert von der Landesanstalt für Medien in Nordrhein-Westfalen (LfM) und dem Forschungsschwerpunkt Medienkonvergenz der Johannes Gutenberg-Universität Mainz - befasst sich mit Meinungsbildungsprozessen auf Facebook und vergleicht die Effekte des sozialen Netzwerks mit Effekten anderer Informationsquellen. Die Ergebnisse liefern Erkenntnisse, ob und wie algorithmenbasierte Vermittlungslogiken die wahrnehmbare Medienvielfalt verengen.

In der quantitativen Nutzerbefragung wurden über zwei Wochen hinweg täglich themenbezogen die Informationsnutzung von Internetnutzern zum aktuellen Zeitgeschehen erfasst und verschiedene Fragen zur Meinungsbildung gestellt. Eingebettet in unterschiedliche kommunikationswissenschaftliche Forschungsstränge wird nicht nur untersucht, ob Informationsintermediäre die wahrgenommene Wichtigkeit bestimmter politischer Themen (Agenda-Setting-Funktion) beeinflussen, sondern auch, inwieweit sie die Wahrnehmung des Meinungsklimas verändern und so etwa Polarisierungstendenzen unterstützen.

Für die Tagebuchbefragung lassen sich mehrere zentrale Befunde festhalten:

  • Erstens ist das regelmäßig genutzte Informationsrepertoire generell sehr vielfältig, d.h. in der Regel informiert man sich mittels unterschiedlichen Informationsquellen über das politische Zeitgeschehen. Der genutzte Mix ist sehr breit, denn sowohl die traditionellen Massenmedien als auch eine Vielzahl von Internetquellen haben ihren festen Platz im Medienmenü der Nutzer. Wichtig für die These der Filterblase: Derzeit sind verhältnismäßig wenige personalisierte und noch viele klassische und somit ausgewogene Informationsquellen im Nachrichtenmenü der Nutzer verankert, sodass die Gefahr, in Filterblasen zu geraten, relativ gering ist.
  • Zweitens ist - unabhängig von spezifischen Nutzungsmustern - weiterhin eine gemeinsame inhaltliche Themenagenda zu finden, die von den zentralen Informationsintermediären Facebook und Google nicht einschränkend beeinflusst wird. Gleichzeitig führt auch die Möglichkeit, sich auf Facebook zu sehr speziellen Nischenthemen zu vernetzen, nicht dazu, dass gesamtgesellschaftlich relevante Themen überhaupt nicht mehr wahrgenommen und komplett ausgeblendet werden.
  • Drittens führt die Nutzung von Facebook als politische Informationsquelle vor allem bei der Beobachtung und Wahrnehmung des Meinungsklimas und bei der Artikulationsbereitschaft zu Effekten: Spielt Facebook als Informationsquelle zu einem Thema eine wichtige Rolle, fühlt man sich mit der eigenen Meinung stärker der Mehrheit zugehörig und ist eher bereit, sich zu einem Thema zu artikulieren. Es bestätigt sich, dass gruppendynamische Entwicklungsprozesse entstehen können, die der prägenden Debattenkultur auf Facebook geschuldet sind und als Ursache von Wahrnehmungsverzerrungen interpretiert werden müssen, die zugleich den Nährboden für Echokammer-Effekte schaffen. Den Befunden der Studie zufolge ist an dieser Stelle des Meinungsbildungsprozesses das Einfallstor für einen möglichen Missbrauch durch Social Bots oder Falschmeldungen auf Facebook am größten. Denn auf diesem Wege kann interessengeleitete Desinformation nicht nur die Medienagenda, sondern auch das Meinungsklima in der Bevölkerung im gewünschten Sinne beeinflussen.

Alles in allem dokumentiert unsere Untersuchung, dass die in der Öffentlichkeit postulierten pauschalen Wirkungszusammenhänge von Facebook (Schlagwort Filterblase) die tatsächliche Komplexität des Meinungsbildungsprozesses nicht adäquat abbilden. Dass die Effekte von Facebook weniger stark als befürchtet sind, gibt aber keinesfalls Grund zur Entwarnung, denn sie sind messbar und werden ansteigen, sobald personalisierte Nachrichtenquellen weiter an Relevanz gewinnen bzw. klassische Vermittler von Nachrichten schwächer werden. So üben Algorithmen nicht nur Macht durch ihre Entscheidungen aus, sondern auch in ökonomischer Hinsicht auf etablierte Medienunternehmen. Denn die Verschiebung der Werbegelder zu den Intermediären verändert das digitale Machtgefüge nachhaltig. Demzufolge ist die Angst vor der Filterblase nicht nur übertrieben, sondern verstellt den Blick auf die wirklich bedrohlichen Entwicklungen. Professioneller Journalismus gerät qualitativ und finanziell immer mehr unter Druck. Nicht zuletzt, weil Facebook, Google und Co. im Data-Driven Advertising den anderen Anbietern weit voraus sind. Letztlich gilt im Netz: Wer die Daten hat, hat die Macht.

Mainz, im November 2017 

 

 

Prof. Dr. Birgit Stark

ist Professorin für Kommunikationswissenschaft mit dem inhaltlichen Schwerpunkt Medienkonvergenz am Institut für Publizistik der Johannes Gutenberg-Universität Mainz.