Am 1. Mai 2014 hat eine durch den amerikanischen Präsidenten eingesetzte Arbeitsgruppe zu den Auswirkungen und möglichen Regulierungsansätzen rund um das Thema Big Data und Privatsphäre ihren Bericht vorgestellt („Big Data:
Seizing Opportunities, Preserving Values“, PDF). Gleichzeitig hat auch ein Beratergremium des Präsidenten für Technologie und Wissenschaft (President’s Council of Advisors on Science and Technology (PCAST)) einen eigenen Bericht zum Thema Big Data vorgelegt („Big Data: A Technological Perspective„, PDF). Im nachfolgenden möchte ich einen kurzen (sicherlich nicht vollständigen) Überblick über einige der Ergebnisse des erstgenannten Berichtes geben. Für Informationen zu dem Bericht des PCAST sei das offizielle Fact Sheet (PDF) empfohlen.
Der Grundtenor des Berichts ist sicherlich zu begrüßen: die massenhafte Analyse und Auswertung von Daten, sowohl im öffentlichen als auch im privaten Bereich, schaffen die Grundlage für zukünftiges wirtschaftliches Wachstum und gesellschaftlichen Nutzen und sollte daher unterstützt und gefördert werden. Dabei dürfe jedoch nicht übersehen werden, dass die derzeitigen gesetzlichen Vorgaben entweder überholt oder noch gar nicht vorhanden sind, um einen verhältnismäßigen Ausgleich zwischen den betroffenen Interessen aller Beteiligten zu schaffen.
Zunächst geht der Bericht auf den Begriff „Big Data“, die diesem zugrunde liegende massenhafte Erzeugung von Daten und wie er sich in Zukunft entwickeln wird, ein. Stichworte sind hier insbesondere das Internet der Dinge, tragbare Technologie oder intelligente Autos. Eines ist gewiss: es werden täglich mehr und mehr Daten erzeugt.
Die Frage, die man sich bei einer Untersuchung des Phänomens „Big Data“ stellen muss, sind seine Einsatzmöglichkeiten und Auswirkungen. Sowohl rechtlich, ethisch als auch gesellschaftlich und ob die bestehenden Vorgaben ausreichen. Die Möglichkeit, immer mehr Daten zu speichern und auszuwerten birgt die Gefahr eine „Daten-Asymmetrie“ zu erzeugen, aus der notwendigerweise eine Macht-Asymmetrie hervorgeht. Daten und Informationen sind Macht.
Danach geht der Bericht auf einige Bereiche ein, in denen Big Data bereits heute erfolgreich eingesetzt wird (industrielle Produktion, Gesundheitswesen, Energieversorgung).
Bei Big Data geht es darum, die bekannte Nadel im Heuhaufen zu suchen, wobei der Heuhaufen die Daten sind und die Nadel ein bestimmtes Muster oder eine Anomalie. Datenschutzrechtlich ist freilich der Heuhaufen relevant, wenn es also darum geht, eine gewisse Masse an Daten zu sammeln.
Big Data betrifft häufig Techniken, an deren Ende es um die möglichst genaue Individualisierung von Betroffenen geht. Der Bericht zeigt sowohl die Vorteile (bessere Werbung; bessere Gesundheitsvorsorge) als auch die Nachteile (Ungleichbehandlung bestimmter Personen oder Gruppen) auf. Problematisch seien insofern auch die sog. „filter bubbles“, wenn also einer Person einer bestimmten Gruppe zugeordnet wird und dann entsprechend nur noch mit auf diese Gruppe zugeschnitten Informationen versorgt wird.
Techniken der Anonymisierung von Daten helfen bereits heute, datenschutzrechtlichen Gesichtspunkten Rechnung zu tragen. Die Betroffenen sind dann nicht mehr erkennbar. Diese Techniken der „De-Identifizierung“ bewirken andererseits jedoch, dass die Möglichkeiten von Datenanalysen und ihr Potential teilweise nicht voll ausgeschöpft werden kann. Zudem lässt sich nicht vorhersagen, wie sich die Methoden zur „Re-Identifizierung“ in Zukunft entwickeln werden. Hierdurch entsteht jedoch Unsicherheit darüber, wie Betroffene in Zukunft die auf sie bezogenen Informationen kontrollieren können und wie sie etwa aus Datenanalysen abgeleiteten Entscheidungen widersprechen können.
Der Bericht analysiert im folgenden die derzeit bestehenden gesetzlichen Vorgaben und politischen Initiativen in den USA im Bereich von Open Data und der Nutzung von Big Data im öffentlichen Bereich. Essentiell wird hierbei in der Zukunft die Schaffung von Vertrauen in das Handeln der Regierung und der öffentlichen Stellen sein. Auch der Zugang zu Informationen, die über die eigene Person gespeichert sind, muss eine wichtige Rolle spielen. Gerade in diesem Bereich lässt sich die Gefahr eines Machtungleichgewichts aufgrund von gesammelten Daten und ihrer Analyse durch staatliche Stellen erkennen. Wichtig seien hier für die Zukunft Regelungen, die eine effiziente Überwachung des staatlichen Handelns garantieren.
Ein möglicher Lösungsansatz zur Etablierung datenschutzrechtlicher Sicherungen beim Umgang mit Daten könnten dabei „Datenmarkierungen“ darstellen. Hierbei werden Informationen nach einem festgelegten Schema markierte („tagged“), woraus sich verschiedene Verwendungsmöglichkeiten und Zugriffsrechte für die Behörden ergeben. Manche Behörden benötigen etwa nur den Namen, die Anschrift und das Geburtsdatum, andere öffentliche Stellen jedoch zusätzlich etwa Zugriff auf Steuerinformationen. Die Tags bestimmen, wer auf die Daten Zugriff hat und für welche Zwecke sie verwendet werden können. Dieses System wird derzeit bereits beim amerikanischen Heimatschutzministerium verwendet.
Ein weiterer Untersuchungsbereich betrifft die Datenanalyse durch Strafverfolgungsbehörden. Hier geht der Bericht etwa auf die Möglichkeit der Vorhersage von Verbrechen in besonders gefährdeten Gebieten ein. Zudem untersucht er die Frage, wann staatliche Stellen auf Daten zugreifen können, die durch Betroffene an Dritte preisgegeben und von diesen gespeichert werden („third-party-doctrine“). Ob also etwa Strafverfolgungsbehörden ohne richterliche Anordnung auf Daten bei einem Telekommunikationsunternehmen zugreifen können, wie die Verbindungsdaten von Telefonaten. Hierbei geht es vor allem um die Frage der technischen Entwicklung und wie historische Schutzbereiche (private Wohnung) auf diese Übertragen werden können (Speicherung in der Cloud). Der Schutz von Metadaten wird in dem Bericht speziell angesprochen und es wird geraten, diesen Schutz zu stärken, da auch diese Daten sensible Informationen über Betroffene preisgeben können.
Danach untersucht der Bericht Big Data im privat-wirtschaftlichen Bereich. Auch hier bestehe die Gefahr einer Machtasymmetrie zwischen Verbrauchern und Unternehmen, wobei der Einsatz von Big Data freilich auch hier immense Vorteile bereit halte. Etwas genauer untersucht der Bericht den Bereich der Online-Werbung. Internetdienste sind auf diese Art der Einnahmequellen angewiesen. Dabei spielen viele Parteien eine Rolle bei der Darbietung von Werbung. Problematisch hierbei ist aus der Sicht des Berichts, dass die Verbraucher meist nur mit dem Webseitenbetreiber selbst in Kontakt kommen, jedoch nicht mit den dahinter stehenden Werbenetzwerken und anderen Beteiligten, die eventuell auch Informationen über sie speichern. Dadurch verstehen sie auch zumeist nicht, welche Rolle sie und ihre Daten in diesen Verarbeitungsprozessen spielen.
In Zukunft wird es besonders wichtig sein, den Verbrauchern mit der erforderlichen Transparenz in Bezug auf Datenverarbeitung zu begegnen und sinnvolle Wahlmöglichkeiten zur Verfügung zu stellen. Der Bericht zeigt dabei auch, dass allein ein „Mehr“ an Informationen nicht unbedingt der beste Weg ist. Denn obwohl die Werbeindustrie teilweise freiwillig Maßnahmen ergriffen hat, um Nutzer besser zu informieren (Icons auf der Webseite), wurden diese Hinweise von Verbrauchern kaum verstanden oder genutzt.
Danach befasst sich der Bericht mit Datendiensteanbietern, den sog. data brokers. Diese Unternehmen sammeln und analysieren Daten aus verschiedenen Quellen und bieten ihre Dienste (z. B. Nutzerprofile, Produktmarketing) anderen Unternehmen an, ohne jedoch meist direkten Kontakt mit den Verbrauchern zu besitzen. Vorteil ihrer Arbeit ist etwa die möglichst genaue Ausspielung von Werbung oder Anpassung von Angeboten auf die Bedürfnisse des Verbrauchers, was jedoch zugleich die machtvolle Möglichkeit bietet, Daten der Nutzer ohne ihr Wissen algorithmisch zu analysieren.
In diesem Zusammenhang geht der Bericht auf den Einsatz von Algorithmen und die Gefahr einer Diskriminierung der Betroffenen durch automatische Entscheidungen ein. Hier bestehe noch der Bedarf nach weiterer Offenheit der Analysemethoden und auch die Frage der Verantwortlichkeit für Entscheidungen von Algorithmen müsse untersucht werden. Betroffene sollten Zugang zu gespeicherten Informationen erhalten, um so etwa falsche Daten korrigieren zu können.
Durch den Trend, dass immer mehr Geräte Daten erzeugen und miteinander kommunizieren, wird das Prinzip der Datenminimierung an die Grenze seiner Belastbarkeit geführt, ja wenn nicht sogar obsolet. Daten, ob sie nun analog oder digital entstehen, werden analysiert und kombiniert. Aufgrund der geringen Kosten für Speicherplatz ist diese Entwicklung auch nicht unbedingt überraschend.
Der Bericht regt vor diesem Hintergrund dazu an, über die Wertigkeit der Einwilligung und vorheriger Informationen nachzudenken. Sich auf die Kontrolle der Datenerhebung und die Umstände der Speicherung zu fokussieren könnte für einen wirksamen Schutz der Privatsphäre nicht mehr ausreichend sein. Das Konstrukt der Einwilligung mag noch in der Beziehung zwischen dem Verbraucher und z. B. dem Webseitenbetreiber den nötigen Nutzen bringen, da hier eine direkte Verbindung besteht. Da Daten jedoch immer mehr von Dritten analysiert und gespeichert werden, sollte man darüber nachdenken, sich regelungstechnisch auf die Kontrolle des Datenumgangs fokussieren. Der Vorteil hiervon wäre unter anderem, dass die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung dann von dem Betroffenen (der heutzutage sowieso allenfalls eine deklaratorische Einwilligung abgibt, da er die Informationen der Datenverarbeitung erst gar nicht lies oder nicht versteht) auf die verarbeitende Stelle übergeht.
Fazit
Dies sind nur einige der in dem wirklich lesenswerten Bericht angesprochenen Themenfelder. Am Ende listet der Bericht seine konkreten Empfehlungen noch einmal auf. Darunter findet sich auch der Vorschlag, Ausländern in den USA dieselben oder zumindest ähnliche Rechte in Bezug auf ihre Daten einzuräumen, wie den amerikanischen Bürgern. Dieser Vorschlag ist gerade vor dem Hintergrund der andauernden Verhandlungen der EU mit den USA um ein Rahmenabkommen beim Datenschutz im Bereich der Strafverfolgung interessant. Denn dort war und ist bisher immer noch die Frage strittig, ob europäische Bürger Rechtsschutzmöglichkeiten in den USA erhalten sollen, wenn ihre Daten rechtswidrig verarbeitet wurden. Vielleicht zeichnet sich hier also ein Umdenken ab. Insgesamt stellt der Big Data Bericht sicherlich einen wichtigen Beitrag zur Diskussion um eine Regulierungsnotwendigkeit vor dem Hintergrund neuer technologischer Entwicklungen dar und sollte auch in Deutschland und Europa gelesen und berücksichtigt werden.