Aufbauend auf den Wurzeln des Datenschutzes und des Schutzes der Privatsphäre
Von Martin Abrams
Im Dezember 2015 gab der Europäische Datenschutzbeauftragte Giovanni Buttarelli eine Stellungnahme ab, in der er vorschlug, den Datenschutz für das Zeitalter von Big Data neu zu erfinden, nicht um Kompromisse bei den Grundsätzen einzugehen, sondern um sicherzustellen, dass Big Data im Dienste der Menschen genutzt wird.
Privatsphäre und Datenschutz waren schon immer unterschiedlich, aber durch gemeinsame menschliche Bedürfnisse miteinander verbunden. Bei der Privatsphäre geht es um einen Raum, in dem man selbst und sein intimer Kreis frei von der Kontrolle und Beurteilung durch andere sind. Es geht um das Konzept der erweiterten physischen Privatsphäre.
Alan Westin hat in seinem bahnbrechenden Buch Privatsphäre und Freiheit dargelegt, dass Menschen in jeder Kultur einen Raum brauchen, in dem sie dumme Dinge tun, andere Gedanken denken und Verhaltensweisen zum Ausdruck bringen können, die von der Norm abweichen. Dieser private Raum war noch nie perfekt - es hat immer Spanner und Klatschtanten gegeben. Im europäischen Recht wird dies durch das Grundrecht auf Autonomie und Familienleben ausgedrückt.
Beim Datenschutz ging es jedoch schon immer um die sinnvolle Nutzung von Daten, die in Informationen umgewandelt werden, um den Bedürfnissen des Einzelnen und/oder einer Gemeinschaft zu dienen. Wie Peter Hustinx in einem Papier aus dem Jahr 2014 erläuterte, geht der Datenschutz über den Schutz der Privatsphäre hinaus und umfasst das gesamte Spektrum der Grundrechte, die durch die Verarbeitung von Informationen beeinträchtigt werden. Der Datenschutz ist im Wesentlichen eine Kontrolle der unangemessenen Macht, die entstehen kann, wenn Organisationen Daten besitzen und verarbeiten.
Die Notwendigkeit des Datenschutzes beginnt mit der Entstehung historischer Aufzeichnungen - der Erfindung der Schrift im alten Sumer. Die Technologie der Informationssammlung, -verdichtung und -manipulation war schnell im Besitz der Mächtigen. Die Schriftgelehrten im alten Sumer arbeiteten für die Mächtigen. Die von ihnen erstellten Daten wurden von den Machthabern zum Machterhalt genutzt.
Doch die Technologie begünstigt niemanden auf Dauer. Technologie kann die Mächtigen ins Wanken bringen. Die Schrift kann dazu dienen, neue Gedanken zu verbreiten und Interessen zu bündeln. Durch den Einsatz von Informationstechnologie können neue Märkte geschaffen und etablierte Märkte verdrängt werden. Und dieses Tempo der wirtschaftlichen Schaffung und Zerstörung hat sich beschleunigt.
Betrachten wir nun die Entwicklung des Datenschutzrechts.
Die Magna Carta, die Grundlage für das Rechtssystem der englischsprachigen Welt, definierte den Raum, in dem Menschen Einsamkeit erwarten konnten. Das Zuhause eines Menschen ist sein Schloss. Der Einzelne kontrolliert den Zugang zu seiner Wohnung und den darin befindlichen Unterlagen. Aufzeichnungen sind eine Erweiterung dieses Raums. Das Verhalten, das in der Wohnung stattfindet, kann nur auf Einladung des Hausbesitzers beobachtet werden.
Was eine Person in einem öffentlichen Raum und mit anderen Personen tat, war der Beobachtung zugänglich. Sie konnten von anderen Personen, die daran teilnahmen, oder von anderen in der Öffentlichkeit aufgezeichnet werden. Es gab schon immer gesellschaftliche Normen und sogar Gesetze, die die Nutzung und Weitergabe dieser Beobachtungen regelten.
Der Zweite Weltkrieg brachte uns die Erfindung des Computers. In den 1960er Jahren war klar, dass wir die Magna Carta hinter uns lassen mussten. Die wissenschaftliche Arbeit der sechziger Jahre führte in den siebziger Jahren zu Gesetzen zum Schutz der Privatsphäre und zum Datenschutz, die wiederum zu den OECD-Datenschutzrichtlinien führten.
Das Schlüsselkonzept war damals, dass die Daten von mir stammen und dass eine Übertragung dieser Daten von mir an andere auf der Grundlage einer klaren Abgrenzung der Regeln für diese Daten erfolgen sollte. Die Art der Nutzung war nicht das Problem. Es ging um die Übertragung der Kontrolle über die Daten.
Es wurde jedoch auch anerkannt, dass an der Datengenerierung oft mehr als eine Partei beteiligt ist. Es gab auch öffentliche Aufzeichnungen, die es schon immer gab, die aber jetzt viel sichtbarer wurden, da sie von staubigen Kellern auf Großrechner übertragen wurden. So begannen die US-Gesetze, die faire Nutzung von Daten wie Kreditauskunftsdaten zu regeln. Dabei ging es weniger um Kontrolle als vielmehr um die faire Nutzung durch Kreditgeber und Arbeitgeber, die eine Machtposition innehaben. Das Konzept der angemessenen Nutzung wurde im europäischen Recht verankert und war der Ursprung der Rechtsgrundlage für die Verarbeitung.
Betrachten wir nun die Entwicklung der Technologie und ihre Auswirkungen auf die Privatsphäre und den Datenschutz. Es hat Tausende von Jahren gedauert, um von der Erfindung der Schrift zur Druckerpresse zu gelangen. Und ein paar hundert Jahre, um von der Druckerpresse zu Brownie-Kameras zu gelangen. Es folgten Kartensortiermaschinen bis hin zu Großrechnern. Die 1970er Jahre brachten Datenbanktechnologien. In den 1980er Jahren beschleunigten sich die Technologien für die verteilte Verarbeitung und die statistische Analyse großer und umfangreicher Datensätze. Die frühen 1990er Jahre waren geprägt von einem Rückgang der Kommunikations- und Verarbeitungskosten, gefolgt vom Internet für Verbraucher und der eigentlichen Geburt einer Beobachtungswelt. Das Jahr 2000 brachte die Verarbeitung mit gemeinsamen Modulen (das Produkt von Y2K). Die Verarbeitungs- und Kommunikationskosten sanken weiter und machten den Weg frei für Personal Organizer und schließlich für Smart Phones. Big Data folgte zusammen mit dem Internet der Dinge. Die Informationstechnologien haben sich beschleunigt, von Jahrtausenden zwischen großen Veränderungen zu Jahrzehnten, zu Jahren, zu scheinbar Minuten.
Nicht nur die Technologie hat sich verändert, sondern auch das Wesen der Macht. Im Jahr 2000 ging es bei der nationalen Aufklärung um Nationalstaaten. Im Jahr 2001 waren es dezentralisierte Mächte. Die Bedrohung ging nicht mehr nur von Spionen aus, sondern vielmehr von Bombenbauern, die über das Internet Unterricht nehmen.
Dadurch werden sowohl der Schutz der Privatsphäre als auch der Datenschutz sehr kompliziert. Die einfachen Konzepte des Gesetzes von 1972 reichen nicht aus, um alle Herausforderungen der Governance im Jahr 2016 zu erfassen.
Was sich nicht ändert, sind einige grundlegende menschliche Bedürfnisse:
- Wir brauchen Privatsphäre, um einen Raum zu haben, in dem wir fehlerhaft oder perfekt sein können, ohne dass andere es sehen, hören und/oder wissen.
- Wir müssen sicherstellen, dass das Denken mit Daten den Bedürfnissen der Menschen dient und nicht denjenigen, die eine Machtposition innehaben, mehr Macht verschafft.
- Wir brauchen Informationen, um uns zu schützen, um einen wettbewerbsfähigeren Markt zu haben, um die Gesundheitsversorgung zu verbessern, um die Bildung zu verbessern und um mehr Möglichkeiten zu schaffen.
- Wir wollen nicht, dass wir durch die falsche Verwendung von Informationen oder arrogante Erkenntnisse geschädigt werden.
- Wir wollen nicht, dass unsere Zukunft durch Vorhersagen vorherbestimmt wird.
Wir brauchen Privatsphäre, um uns selbst sein zu können, doch die Technologien erweitern den öffentlichen Raum und erleichtern die Nutzung der Daten erheblich. Darüber hinaus bedeutet die Nutzung von Daten und deren Verarbeitung zur Befriedigung unserer Bedürfnisse, dass wir neue Erkenntnisse gewinnen, um die Gesundheitsversorgung, die Bildung, die wirtschaftliche Teilhabe und sogar das Einkaufen zu verbessern. Um auf die Bedürfnisse von Einzelpersonen und Gemeinschaften einzugehen, müssen wir mit Daten denken. Mit Daten zu denken ist moderne Analytik.
Ein großer Teil der Funktionalität des Gesetzes war davon abhängig, dass Daten etwas waren, das mit unserem physischen Wesen verwandt war. Doch der Technologiefluss hat die Beobachtung über den Schutz des Schlosses hinaus erweitert. Wenn ich mein mit meinem Smartphone verbundenes Wearable benutze, habe ich selbst in meinem Schloss nicht den Schutz, den die Schlossmauern bieten.
Sich vor die Innovation zu stellen, ist jedoch so, als würde man versuchen, eine Lawine mit einer Schaufel aufzuhalten. Bei der Kanalisierung der Innovation geht es jedoch darum, die Zivilisiertheit zu gewährleisten.
Wie können wir also, wie vom EDSB vorgeschlagen, den Datenschutz neu erfinden? Wer muss eine aktive Rolle haben? Wie sollten diese Rollen aussehen? Wie können wir dies mit kulturübergreifender Sensibilität tun? Den Datenschutz neu zu erfinden bedeutet, die Rollen von Datennutzern, Aufsichtsbehörden und einfachen Menschen neu zu erfinden.
Beginnen Sie mit den Datennutzern. Von dort aus wird das Konzept der Rechenschaftspflicht ausgeweitet. Das Ziel, ein verantwortlicher und rechenschaftspflichtiger Verwahrer zu sein, ändert sich nicht - aber die Aspekte, die damit verbunden sind, werden viel ganzheitlicher. Dies gilt insbesondere dann, wenn Daten über die Erwartungen vernünftiger Menschen hinaus verwendet werden.
Big Data ist eine großartige Metapher dafür. Big Data ist daher von Natur aus eine Umwidmung von Daten - selbst wenn Big Data in einer Datenschutzerklärung als Zweck aufgeführt ist.
Zunächst müssen wir Big Data in zwei Phasen unterteilen. Dieses Konzept eines Zwei-Phasen-Ansatzes für Big Data wurde 2013 in einem von Paula Bruening, Meg Leta Jones und mir verfassten Papier untersucht.[1] Die erste Phase ist die Entdeckung und beinhaltet das Denken mit den Daten. In der zweiten Phase geht es um die Anwendung, d. h. darum, mit dem Wissen zu handeln, das sich aus der Beschäftigung mit den Daten ergibt. Die Risiken für den Einzelnen sind in diesen beiden Phasen unterschiedlich.
Sobald man verstanden hat, ob man denkt oder handelt, muss man die Gründe für die Verarbeitung verstehen. Was ist das Problem, das man zu lösen versucht? Wenn man das Problem verstanden hat, kann man auch die Herausforderungen verstehen, die mit der Verwendung von Daten zur Lösung dieses Problems verbunden sind.
Zweitens müssen wir die Mechanismen der Verarbeitung der von uns verwendeten Daten verstehen. In vielerlei Hinsicht deckt sich dies mit den in den OECD-Leitlinien klar formulierten Fragen der Genauigkeit. Der Umfang und die Vielfalt der Datensätze lösen das Problem der Genauigkeit nicht, wie manche meinen, sondern führen nur zu einer größeren Komplexität bei der Feststellung, ob die Genauigkeit der Daten die Glaubwürdigkeit der Lösungen beeinflusst. Die Rechtmäßigkeit und Moral der Daten kommt ins Spiel. Einige Daten sind gesetzlich verboten, andere sind vertraglich oder durch Versprechen festgelegt, und wieder andere sind einfach nicht angemessen.
Drittens ist ein klares Verständnis der linearen Algebra erforderlich, die mit der Betrachtung von Nutzen und Risiken verbunden ist. Wer hat Vorteile, wer hat Risiken? Wenn es ein Missverhältnis zwischen dem Träger des Risikos und dem Empfänger des Nutzens gibt, ist es unwahrscheinlich, dass die Verarbeitung im Gleichgewicht ist. Diese Fragen werden in "The Unified Ethical Frame for Big Data"[2 ] untersucht. Der Datenschutz erfordert seit jeher ein Verständnis der gesamten Bandbreite der Risiken für die Grundrechte und -freiheiten, und der einheitliche ethische Rahmen untersucht, wie man diese Probleme ausgleichen kann. Letztendlich führt dies zu einer einfachen Bewertung der Frage, ob die Verarbeitung von Daten legal, fair und gerecht ist. Ist dies nicht der Fall, muss die Verarbeitung so geändert werden, dass sie rechtmäßig ist.
Viertens sind Kontrollen und Gegenkontrollen für die Datennutzer wichtig. Die für die Verarbeitung Verantwortlichen müssen bereit sein, nachzuweisen, dass ihre Bewertungen integer durchgeführt werden. Die Bereitschaft, dies zu demonstrieren, schafft die Möglichkeit, einer Aufsichtsbehörde einen soliden Prozess nachzuweisen. Um echte Kontrollen und Gegenkontrollen zu schaffen und die Beteiligung des Einzelnen zu gewährleisten, müssen die Datennutzer die Öffentlichkeit darüber aufklären, wie die Daten über die Erwartungen des Einzelnen hinaus verwendet werden. Aufklärung schafft die Voraussetzungen für die Beteiligung des Einzelnen, ein wesentliches Element der Rechenschaftspflicht.
Was die Rolle des Datenschutzbeauftragten betrifft, so benötigen die Regulierungsbehörden neue Fähigkeiten. Sie müssen in der Lage sein, die aktiven Fragen zu stellen, die es erleichtern, festzustellen, ob sowohl die Entdeckung als auch die Anwendung rechtmäßig, fair und gerecht sind. Das bedeutet, dass die Aufsichtsbehörden bereit und in der Lage sein sollten, zwischen beiden zu unterscheiden. Um ihre Rolle wirksam spielen zu können, müssen die Aufsichtsbehörden befugt sein, die Verarbeitung stichprobenartig zu überprüfen.
Und dann ist da noch die Rolle, die die Menschen spielen. In den frühen siebziger Jahren, als Daten und Systeme gleich waren, wurde von den Menschen erwartet, dass sie durch ihre Entscheidungen eine aktive Rolle bei der Verwaltung der Daten spielen. In diesem Szenario löste der Sonnenschein viele Probleme. Heute ist Sonnenschein nicht mehr genug. Die Verarbeitung, auch wenn sie gut erklärt ist, kann die Menschen überfordern. Die Menschen können jedoch als Gemeinschaft in einer Weise handeln, die wir noch nie zuvor gesehen haben. Wie bereits erwähnt, hängt dies in hohem Maße von der Qualität des von den Datennutzern bereitgestellten Erklärungsmaterials ab. Mein Kollege Peter Cullen erforscht die Rolle der Menschen in dem von ihm am IAF geleiteten Projekt Holistic Governance.
Abschließend möchte ich daher vorschlagen, dass wir als Praktiker den Unterschied zwischen Privatsphäre und Datenschutz verstehen müssen. Beide Seiten der Medaille aus Recht und Governance sind wichtig, aber wenn wir sie unterscheiden, kommen wir effektiven Lösungen näher, die den gesellschaftlichen Bedürfnissen entsprechen. Darüber hinaus können wir uns nicht mehr darauf verlassen, dass der Einzelne den Markt durch das Lesen von Hinweisen und die Einwilligung kontrolliert. Die Art der Verarbeitung ist sehr komplex geworden. Dennoch kann das System nicht zu einem System werden, in dem der Datennutzer allein darüber entscheidet, welche Verarbeitung angemessen ist und welche nicht. Der Datennutzer als Vater ist eine Bevormundung, die nicht nur fair und gerecht ist. Das bedeutet, dass die Menschen als Einzelpersonen oder als Gruppe eine wichtige Rolle bei der Festlegung von Normen für die Verarbeitung von Daten spielen müssen, die über die Erwartungen hinausgehen. Schließlich müssen auch die Regulierungsbehörden zwischen Fragen der Autonomie und der fairen und gerechten Nutzung von Daten unterscheiden, um mehr Wissen und bessere Anwendungen für datengesteuerte Lösungen zu fördern.
[Dieser Blog basiert auf einem Vortrag beim Office of the Information and Privacy Commissioner, 3. Februar 2016]
Abrams ist Executive Director und Chief Strategist der Information Accountability Foundation, einer gemeinnützigen Forschungs- und Bildungsorganisation.
[1] Das Centre for Information Policy Leadership (2013), "Big Data and Analytics: Seeking Foundations for Effective Privacy Guidance", www.hunton.com/files/Uploads/Documents/News_files/Big_Data_and_Analytics_February_2013.pdf.
[2] The Information Accountability Foundation (2014), "A Unified Ethical Frame for Big Data Analysis", http://informationaccountability.org/wp-content/uploads/IAF-Unified-Ethical-Frame.pdf.