Archive for June 2015


Warum ich die Resolution von @digitalcourage zur EU-Datenschutzverordnung für falsch halte

June 6th, 2015 — 5:27pm

Der Datenschutz-Förderverein Digitalcourage hat heute zur Zeichnung einer Resolution gegen die Aushölung des Datenschutzes im Zuge der EU-Datenschutzgrundverordnung aufgerufen, die kurz vor dem Abschluss steht.
Die Lesart ist: Google, Facebook & Co, sowie im generellen die Daten-Handels-Lobbyisten versuchen den Datenschutz auszuhölen, indem wichtige Datenschutzkriterien wie z.B. die Zweckbindung und die Datensparksamkeit geschliffen werden sollen.
Tatsächlich ist alles natürlich viel komplizierter.
Zum einen kann für Google, Facebook & Co derzeit kaum etwas besseres passieren, als eine strenge EU-Datenschutzgrundverordnung, denn diese wird – trotz anderslautender Ankündigungen zum sog. “Marktortprinzip” – für US-Unternehmen in vielfacher Weise nicht gelten, insbs. weil es keine Bestrebungen gibt, das bilaterale Safe-Harbor Abkommen (bzw. die Entscheidung der EU-Kommission diesbzgl.) aufzuheben, das es US Unternehmen ermöglicht, durch eine einfache Erklärung (gegenüber US-Autoritäten) so behandelt zu werden, als wären Ihre Daten und Datenverarbeitungsprozesse auf EU-Level. Der Staatssekretär des BMI, Ole Schröder, hat noch vor wenigen Wochen auf einer Konferenz der FAZ in Berlin zum Thema gesagt, es gäbe keine Pläne Safe-Harbor aufzukündigen. Dies wird auch von anderen Stellen bestätigt. Hinzu kommen weitere Handels-Abkommen, die eine ähnliche Wirkung haben werden, wie z.B. das aktuell bekannt gewordene TISA.
Der Effekt für US-Unternehmen wäre also grob: höheres Datenschutz-Niveau für Digital-Unternehmen, die in der EU ansässig sind (mit ihrem Haupt-Sitz), und gleichbleibend lasche Regeln für US-Unternehmen. Warum sollte man dagegen anlaufen?
Tatsächlich wird die EU-Grundverordnung in vielen Bereichen eine deutliche Verschärfung des Datenschutz-Niveaus zur Folge haben, insbs. auch in anderen EU-Staaten, die bisher laschere nationale Regeln implementiert haben, aber auch in Deutschland. Denn hier gilt bisher z.B. der wichtige Absatz 15(3) des Telemediengesetzes, der die sog. “Pseudonymisierung” ermöglicht, und Unternehmen im Gegenzug erlaubt derart abgesicherte Daten ohne vorherige Zustimmung des Nutzers, sondern nur mit Widerspruchsmöglichkeit zu verarbeiten (Pseudonymisierung bedeutet, dass in einem Datensatz die Merkmale entfernt werden, die einen direkten Personenbezug ermöglichen). Diese Regel ist so nicht in der EU-Verordnung implementiert (zumindest nicht im Entwurf des Rates, aber selbst im Text des Parlamentes taucht das Prinzip nur bruchstückhaft auf). Das würde bedeuten, dass in Zukunft alle erhobenen Daten als personenbezogene Daten gelten und damit ein strenges Zustimmungs- oder Opt-In Regime einzieht*. Das ist ein bemerkenswerter Sieg der Datenschutz-Lobby, insbs. der Article-29 Working Party (Zusammenschluss von Datenschutz-Beauftragten in der EU mit quasi-amtlichem Status in Brüssel).
Natürlich wird seitens der Wirtschafts-Lobbyisten versucht, das noch aufzuweichen, insbs. über sog. “legitime Interessen”, aber der Versuch der Bundesregierung das Prinzip der Pseudonymisierung noch einzufügen wurde von den anderen EU-Mitglieds-Staaten mit grosser Mehrheit abgelehnt.
Was ich aus zwei Gründen für fatal halte, und da sind wir beim eigentlichen Problem.
Zum einen ist es fatal, weil Pseudonymisierung ein Datenschutz-Tool ist/war, und demzufolge auch von Datenschützern unterstützt wurde. Es war aber auch ein Incentive für Unternehmen mit speziellen Vorkehrungen besonders datenschutzfreundlich zu arbeiten, indem sie problematische Personenbezüge in den Daten entfernten oder gar nicht erst aufkommen liessen. Es wäre ein Verlust für datenschutzfreundliche Geschäftsmodelle, wenn diese Option wegfiele.

Nun aber zu meinem Haupt-Punkt: Ich glaube, wir stehen vor einem grösseren Problem und die Lösungen von Digitalcourage wären auch dann falsch, wenn die Annahmen bzgl. der Interessen von Lobbyisten alle richtig lägen.
Denn: Big-Data ist nicht böse. Natürlich hat es hochproblematische Anwendungsfälle und es gibt predictive policing, Aushölung der Solidarität im Gesundheitswesen über Daten-Tarife usw. – keine Frage. Aber ich bin auch davon überzeugt, dass Big-Data Anwendungen zu den wichtigsten Quellen für Innovation, Wohlstand und allgemein Zukunftstechnologien beitragen werden, vereinfacht: wer die Möglichkeiten von Big-Data erschwert, erschwert Innovation auf zahlreichen Gebieten. So sind zum Beispiel sowohl das selbstfahrende Auto (das in Zukunft viele Leben retten wird) als auch die unglaublichen Durchbrüche im Bereich automatisierter Übersetzungen Big-Data Anwendungen, die möglich wurden, weil massenhaft nicht zustimmungspflichtige Daten verfügbar waren, die auch keine Einschränkung hinsichtlich Zweckbindung aufwiesen (z.B. Übersetzungen von EU-Gesetzen, aber auch zig andere Quellen aus Diensten, die z.B. Sprachverarbeitung ermöglichen). Das britische Gesundheitssystem setzt gerade voll auf Innovationen und Effizienz-Effekte durch die Öffnung von ehemals strikt personenbezogenen und hoch-geschützten Gesundheitsdaten. Und das nicht, weil Daten-Lobbyisten das gewollt haben, sondern weil man das Innovationspotential einer offenen Datenpolitik selbst in so sensiblen Bereichen einfach heben muss, um die explodierenden Gesundheitskosten gegenfinanzieren zu können (so zumindest die Argumentation des NHS). Effekte, die z.B. einfach dadurch entstehen können, dass sowohl Patienten ihren kompletten Health-Record inkl. API zur Verfügung gestellt bekommen, als auch Unternehmen und Startups in pseudonymisierter Form (ja, da gibt es viele Diskussionen und Probleme).
Die altehrwürdigen Prinzipien von Zweckbindung und Zustimmungserfordernis sowie generell Datensparsamkeit greifen einfach nicht mehr für die Zukunft, das ist meine tiefe Überzeugung, denn wenn Big-Data Anwendungen eines nicht kennen, dann ist es Datensparsamkeit und Zweckbezug (vorab). Das widerspricht sich also im Kern.
Allerdings sollten die Prinzipien nicht einfach über Bord geworfen werden, keineswegs. Aber wir brauchen eine gemeinsame Anstrengung von Datenschützern, Politikern, Unternehmen und Lobbyisten (ja!) um neue Datenschutz-Prinzipien zu finden, die für das Big-Data Zeitalter taugen. Wenn die Datenschützer sich einfach hinter den alten Prinzipien verschanzen, hilft das niemandem. Genausowenig hilft es, wenn Unternehmen jetzt einfach loswurschteln (weil die Aufsicht total überfordert ist z.B.) oder PolitikerInnen irgendwelche Gesetze erlassen, nur damit mal Ruhe ist (ein bisschen passiert das gerade mit der Verordnung).
Wir müssen vermutlich noch mehr als das TMG mehrere Klassen von Daten einführen, und weiter über Pseudonymisierung und deren Absicherung nachdenken. Wir müssen vermutlich an vielen Stellen vom Prinzip der Zweckbindung abgehen, vll. auch indem neue Zwecke mit Zustimmung definiert werden können, vermutlich aber eher indem auf sog. risikobasierte Ansätze geswitched wird oder eben rechtliche Fragen im Moment der Anwendung von Daten (und nicht im Moment der Erhebung) relevant gemacht werden. Wir müssen sicher auch einen Bereich personenbezogener Daten definieren, der vll. noch stärker als bisher abgesichert wird. Wir müssen die im Digitalen viel leichter zu nutzenden Möglichkeiten der Transparenz wirksam in Gesetze und Praxis einziehen, z.B. indem Nutzer ihre Daten und deren Nutzung jederzeit nachverfolgen und auch nachjustieren können. Und ich würde sogar soweit gehen, dass es in bestimmten Bereichen regelrecht Prinzipien der Daten-Verschwendung geben muss, also maximale Daten-Erzeugung, Zugänglichmachung, Standardisierung etc.

Das wird schwierig und fundamental. Aber ich halte es für eine essentielle Aufgabe, wenn wir eine neue Balance von Schutz/Regulierung, Empowerment des Nutzers und Nutzungsmöglichkeiten für Unternehmen finden wollen.

*eine andere Lesart in einigen EU-Staaten ist übrigens dass pseudonymisierte Daten als “anonyme” Daten behandelt werden sollten und damit überhaupt nicht unter die Verordnung fallen (weil diese nur personenbezogene Daten regelt). In Deutschland sollte diese Lesart angesichts von 15(3) TMG und der jahrzehntelangen Praxis und Rechtsprechung dazu schwierig werden. Ein Outcome könnte also sein, dass in Zukunft solche Daten in Deutschland als unter die Verordnung fallend betrachtet werden, in Litauen aber zum Beispiel nicht – auch wenn solche Effekte durch die Verordnung an sich verhindert werden sollen. Jedenfalls wäre der Effekt wenn Pseudonymisierung in der VO geregelt würde, dass diese Daten-Klasse explizit in die Verordnung reinkäme, also in allen Ländern damit ein klares Improvement für den Datenschutz in der EU.

2 comments » | Netzpolitik, Politik, Uncategorized

Liebe Delegierte des SPD-Parteikonvents,

June 3rd, 2015 — 11:47am

auch ich möchte mich an Sie wenden mit einer Bitte zum kommenden Parteikonvent in Sachen Vorratsdatenspeicherung.

Ich bin ein Internet-Unternehmer aus Köln und in vielfacher Weise auch politisch aktiv, u.a. im Beirat des Wirtschaftsministeriums und dem der Ministerpräsidentin Malu Dreyer, ich bin aber auch Gründungsmitglied von D64.
Ich möchte mich an Sie aber vor allem als Digital-Unternehmer wenden.
Das mag Sie vielleicht verwundern, denn auf den ersten Blick hat die Vorratsdatenspeicherung nichts mit der digitalen Wirtschaft zu tun.

Hat sie aber doch, und zwar vor allem aus zwei wichtigen Gründen.

Erstens: die Digitalisierung unserer Gesellschaft und der Wirtschaft schreitet zügig voran – in Zukunft werden Fabriken vernetzt sein aber auch unsere Häuser, unsere Kleidung und viele andere Dinge des Alltags. So wird es z.B. für Menschen im Alter leichter fallen, länger in Ihrer vertrauten Wohnung zu bleiben, weil digitale Hilfsmittel den Pflegedienst automatisch benachrichtigen, wenn es nötig ist. Digitales Arbeiten macht Teilhabe an Arbeit leichter, für Menschen auf dem Land, mit Kindern oder mit anderen Einschränkungen was die ständige Präsenz im Büro anbelangt.
Zahlreiche neue Geschäftsmodelle und Unternehmen werden in diesem Ökosystem entstehen, und es ist nicht übertrieben zu sagen, dass schon in naher Zukunft die Mehrzahl der Arbeitsplätze von digitalen Technologien geprägt sein werden. Über Arbeit reden wird also in 10 Jahren vor allem “über digitale Arbeit reden” bedeuten.
Die Vorratsdatenspeicherung – auch in der Variante von Herrn Maas – würde das Vertrauen der Bürger und Unternehmer in die zentrale Infrastruktur dieses digitalen Wandels unterminieren – weil vorrangig Überwachungsziele damit umgesetzt würden. Das mag heute noch vielen unkritisch erscheinen – spätestens wenn die Toilette, der Badspiegel und die Bremsanlage des Autos permanent mit dem Netz verbunden sein werden, wird es uns alle betreffen. Wir brauchen ein Internet, das nicht als Instrument zur anlasslosen Massenüberwachung instrumentalisiert wird!

Zweitens: Die SPD macht in den letzten 2-3 Jahren eine immer bessere Figur, was digitale Fragen anbelangt. Das ist schön und findet zunehmend (wenn auch langsam) auch Zuspruch bei den Menschen, die sich mit digitalen Medien und Technologien beschäftigen. Und der digitale Wandel braucht die SPD – wenn Netzpolitik heute schon Gesellschaftspolitik ist, dann brauchen wir dafür die sozialdemokratische Sicht um ein Netz zu bauen, das nicht nur die Wirtschaft beflügelt, sondern auch auf Gerechtigkeit, Solidarität und Teilhabe setzt! Bitte verspielen Sie dieses Vertrauen jetzt nicht. Ich kann Ihnen versichern, alle Augen sind am 20.6. auf den Konvent gerichtet – wenn die SPD jetzt ohne Not eine Vorratsdatenspeicherung zum Gesetz macht, wird sie ihre Stimme in der Digitalpolitik für lange Zeit verloren haben.

Herzliche Grüsse,

Stephan Noller

willy

7 comments » | Netzpolitik, Uncategorized

Back to top