Privacy, Datenschutz & Surveillance – Die umstrittene Einwilligung
Nachdem im III. interdisziplinären Workshop “Privacy, Datenschutz & Surveillance” eher theoretische Themen im Mittelpunkt standen, wurden dieses Mal auch überwiegend praxisbezogene Probleme diskutiert. Ein besonderer Schwerpunkt lag hierbei auf Fragen der Einwilligung, die sowohl aus sozialwissenschaftlicher, juristischer, informatischer als auch verhaltensökonomischer Sicht mit jeweils unterschiedlichen Zugängen diskutiert wurden. Fokussiert wurden ferner Anonymisierungsmöglichkeiten im Wirtschaftsbereich und organisierten Formen des Selbstdatenschutzes.
Das Einwilligungs-Paradox
Benjamin Bergemann (wissenschaftlicher Mitarbeiter am WZB Berlin) begann seinen Vortrag mit der Beobachtung, dass sich die datenschutzrechtliche Einwilligung in einer Dauerkrise befinde, aus der sie dennoch immer wieder gestärkt hervorgehe. Unter Zugrundelegung der Soziologie der Rechtfertigung analysierte Bergemann das Oszillieren der Einwilligung zwischen Kritik und Rechtfertigung, indem er die juristische Fachliteratur zur Einwilligung seit 2000 im Rahmen einer Diskursanalyse untersuchte, mit dem Ziel zu klären, wie die Einwilligung immer wieder gerettet und rechtfertigt wird.
Als die zwei dominanten Rechtfertigungsordnungen identifizierte Bergemann die Welt der Datenpraxis, die durch ihre fast schon ingenieurhaftes Denkweisen geprägt sei, und die ausschließlich ökonomisch geprägte Welt des Datenmarktes. Während in der Welt der Datenpraxis die Welt an das Recht angepasst werden solle, habe sich das Recht in der Welt des Datenmarktes an die Welt anzupassen. Während die Einwilligung in der Welt der Datenpraxis als originärer Ausdruck informationeller Selbstbestimmung gelte (womit das Volkszählungsurteil des BVerfG zur Leitentscheidung erhoben werde), werde sie in der Welt der Datenökonomie als Ausfluss eines vermögenswerten Verfügungsrecht angesehen (Leitentscheidung sei insofern das Marlene Dietrich-Urteil des BGH zur Kommerzialisierung des Allgemeinen Persönlichkeitsrechts). Folglich betonten die beiden Welten entweder die Freiwilligkeit (so die Datenpraxis) oder die Informiertheit (so der Datenmarkt) der Einwilligung. In der von Bergemann untersuchten rechtswissenschaftlichen Literatur habe sich der Akzent seit 2010 maßgeblich in Richtung Informiertheit verschoben. Mit dem Verweis auf die Alltäglichkeit von Datenverarbeitung wurde aus der Welt des Datenmarktes die Transparenz als zentrales Kriterium einer wirksamen Einwilligung gegen die Freiwilligkeit durchgesetzt, gerade auch in Koalition mit Teilen der Welt der Datenpraxis. Im Ergebnis gehe es, wie auch in der derzeit verhandelten EU-Richtlinie zum Urheberrecht im digitalen Binnenmarkt, nur noch um Daten gegen Leistung. Auf Freiwilligkeit könne, so die herrschende Meinung in diesem Bereich, verzichtet werden, denn in Privatrechtsverhältnissen bestünden grundsätzlich keine Abhängigkeitsverhältnisse. Nicht zuletzt würde damit auch die Zweckentfremdung zu einem üblichen Teil des – transparenten – Deals.
Neben methodologischen Fragen und solchen der Auswahl der untersuchten juristischen Fachliteratur konzentrierte sich die Diskussion in erster Linie auf den Wandel im Rechtfertigungsdiskurs zur Einwilligung und seiner möglichen Gründe. In der Debatte wurde dabei auf verwandte Rechtsbereiche sowie sich verändernde Leitbilder verwiesen, so etwa im Verbraucherrecht, das sich vom uninformierten zum informierten Verbraucher wandelte. Im Datenschutzrecht lasse sich diese Leitbildverschiebung ebenfalls beobachten, nämlich von eher als passiv imaginierten Betroffenen zu eher als aktiv gedachten Nutzerinnen und Nutzern. In die gleiche Richtung könne die seit Mitte der 1990er Jahre verstärkte Fixierung auf Selbstdatenschutz als Lösung für das Datenschutzproblem wirken. Deutlich sei jedenfalls, dass die Einwilligung, die im Datenschutzrecht die Rolle eines Heiligen Grals spiele, in der Praxis ein Nullum sei: Nicht nur diene sie zur Rechtfertigung der negativen Konsequenzen, die einseitig den Betroffenen aufgelastet würden – sie hätten ja eingewilligt –, auch werde die Verweigerung der Einwilligung verbreitet sanktioniert, von Freiwilligkeit könne daher keine Rede sein.
Einwilligungsmanagement im Internet der Dinge
Max Ulbricht (Technische Universität Berlin) fokussierte sich in seinem Vortrag auf die technische Seite der Einwilligung und verwies am Beispiel des Internets of Things, der Quantified-Self- und der Participatory-Sensing-Bewegung (Fitness- bzw. Gesundheitsdaten) auf die Unpraktikabilität des Einholens jeweils neuer Einwilligungen für jede neue Datenverarbeitung. In der Praxis gehe folglich der Trend dahin, von den Betroffenen einen broad consent einzuholen, also eine Einwilligung zu relativ unspezifischen Zwecken wie der Verbesserung des Services. Dieses Vorgehen sei aber mit dem Zweckbindungsgrundsatz nur schwerlich vereinbar.
Ulbricht skizzierte sodann Konzepte für technische Infrastrukturen und Systeme, die es ermöglichen sollen, das Dilemma zwischen Rechtskonformität und Innovationsoffenheit anders als über einen unspezifizierten broad consent aufzulösen. Zwei grundlegende Lösungsansätze ließen sich unterscheiden: sticky policies und privacy proxies. Sticky policies bezeichnen einen Mechanismus, bei dem die Regeln, nach denen die Daten zu verarbeiten seien, als Metadaten an den Daten mitgeführt werden sollen. Um die Durchsetzung dieser Regeln sicherzustellen, würden die Daten verschlüsselt, und die sticky policies enthielten die Informationen, bei welcher Trusted Authority der Schlüssel zu welchen – meist vertraglich fixierten – Bedingungen zu erhalten sei, um die Daten entschlüsseln und nutzen zu können. Das Verfahren sei, so Ulbricht, extrem aufwendig und daher nur für bestimmte Anwendungsfälle zu rechtfertigen. Privacy proxies seien zwischen Sensoren und dem Netzwerk (oder dem Speicher / der Cloud) platzierte Systeme, die zuvor hinterlegte Präferenzen bezüglich der Datennutzung automatisiert durchsetzen könnten, also automatisierte Einwilligungs-Agenten.
[su_posts template=”templates/hiig-loop.php” id=”31857″]
Anschließend präsentierte Ulbricht ein Modell zur Entwicklung eines solchen Proxies. Das System soll aus drei Teilen bestehen: einem Spezifikationsservice zur Spezifikation der Privacy Policies, einem Ausführungsservice, das Anfragen gemäß den Privacy Policies sowohl entscheidet als auch beantwortet, und einem Verknüpfungsservice als Brücke zwischen Spezifikations- und Ausführungsservice. In einem ersten Schritt soll dieses Modell auf Wetter- und Fitness- bzw. Gesundheitsdaten angewandt werden. In diesem Zusammenhang stellt sich nach Ulbricht unter anderem die Frage, wie die Nutzerpräferenzen spezifiziert werden können, denn die existierenden Beschreibungssprachen für solche Policies seien nicht geeignet, da sie nicht alle erforderlichen Aspekte abdecken würden. Darüber hinaus sei fraglich, ob generelle Einwilligungen (broad consent) mit den Anforderungen des geltenden Datenschutzrechts (etwa Art. 4(11) und Art. 7 EU-DSGVO in Verbindung mit den Erwägungsgründen 32 und 42) vereinbar sind, weswegen Ulbricht abschließend die Idee zur Debatte stellte, Einwilligungen entweder für Kategorien von Verarbeitern und Zwecken – öffentliche Forschungsinstitutionen, KMUs oder Einzelpersonen sowie wissenschaftliche Forschung oder Wettervorhersage / Klimaforschung – zu ermöglichen oder eine Art Workaround in Gestalt eines split consent – eine klassische Einwilligung gepaart mit einer Art Vertrag zugunsten Dritter, auf den sich dann die eigentlichen Verarbeiter beziehen könnten – einzusetzen.
In der Diskussion wurde sofort die Frage aufgeworfen, ob es sich bei den Daten überhaupt um personenbezogene handele. Das dürfte in Bezug auf Fitnessdaten zweifellos zu bejahen sein und bei Wetterdaten jedenfalls dann, wenn sie nicht aggregiert seien und damit zugeordnet werden können. Dieses hätte zur Folge, dass jedes Mal, wenn ein Zugriff auf die Plattform erfolgen soll, eine Einwilligung erforderlich ist. Vorzugswürdig wäre daher ein abgestuftes Modell: (1) grundsätzliche Einwilligung, (2) Zugriff des Dienstanbieters, (3) Einwilligung auf Basis eines Risk Managements. Als problematisch erwiesen sich dagegen Standortdaten, die zwar aus juristischer Perspektive nicht unter die personenbezogenen Daten fielen, sich aber technisch gesehen leicht de-aggregieren ließen. Hier seien die USA der EU und ihren Mitgliedstaaten weit voraus. So habe die US-amerikanische Bundeskartellbehörde (Federal Trade Commission – FTC), die dort mittelbar auch über den Datenschutz wacht, die Erhebung von Standortdaten (bei ausgeschaltetem GPS) über WLAN für rechtswidrig erklärt und den Datenverarbeiter sanktioniert. Es folgte eine Grundsatzdiskussion zu der Frage, ob das Kriterium der personenbezogenen Daten überhaupt sinnvoll sowohl für die Analyse der Probleme als auch für deren Lösung durch Recht und Technik sei. Techniken wie das von Apple genutzte differential privacy zeigten, dass Apple über die Bildung von prototypischen Nutzergruppen auf der Basis anonymer Daten und deren Implementation in die Endgeräte seine Nutzerinnen und Nutzer diskriminieren könne. Die Informatik zeige daher auf, dass juristische Grundkategorien dringend hinterfragt werden müssten. Allzu lange habe sich die Informatik auf zwei Ziele beschränkt: Gewährleistung von Datensicherheit und Gewährleistung von Anonymität. Nun müsse sich die Informatik neue Ziele setzen und dabei mit anderen Disziplinen zusammenarbeiten.
Datenschutzerklärungen vereinfachen – Ergebnisse eines Online-Experiments zur Wirkung des One-Pagers
Sara Kettner (Institut für Verbraucherpolitik, Projektmanagerin Verbraucherforschung) begann ihren Vortrag mit der Feststellung, dass 40% der Internetnutzer*innen die Datenschutzerklärungen (DSE) der Datenverarbeiter nicht lesen würden. Dies werde in der wissenschaftlichen Debatte darauf zurückgeführt, dass die DSE zu lang und zu kompliziert seien. Problematisch sei also die Gestaltung der DSE, nicht aber die Rechtsfigur der Einwilligung an sich. Für eine bessere Gestaltung würden seit einigen Jahren mehrere Lösungsansätze diskutiert: Piktogramme, z.B. Datenschutzampeln, Zertifizierungen und darauf aufbauende Labels, Privacy-Bots, aber auch der sog. One-Pager, d. h. eine einfache und konzentrierte Form der DSE, mit dem das Leseverständnis verbessert werden solle.
Anschließend gab Kettner einen Einblick in eine empirische Studie zu den Auswirkungen des One-Pagers auf das Leseverhalten, das Verständnis und die Informiertheit von Verbraucher*innen mit 1.002 Versuchspersonen. Dabei durchliefen die Teilnehmer*innen einen Bestellprozess in einem fiktiven Online-Shop mit Eingabe ihrer personenbezogenen Daten, der Vorlage einer Datenschutzerklärung und der Notwendigkeit einzuwilligen. Den Teilnehmer*innen der Studie wurde jeweils nach dem Zufallsprinzip eine von drei Versionen einer DSE vorgelegt: ein nach dem IT-Gipfel entwickelter One-Pager, eine Langfassung (17 Seiten) und ein durch einen Computer generierter One-Pager. Überprüft werden sollten damit das Leseverhalten inkl. der Verweildauer, die subjektive Verständlichkeit, das Längeempfinden, eine Einschätzung zur Vollständigkeit und zur Übersichtlichkeit, das Vertrauen in den Anbieter und die objektive Informiertheit nach dem Lesen der DSE. Positiv abgeschnitten habe der nach dem IT-Gipfel generierte One-Pager in den Punkten Lesbarkeit und Vollständigkeit, während es mit Blick sowohl auf die subjektive Verständlichkeit als auch die objektive Informiertheit keinerlei Abweichung zur Langversion des DSE gegeben habe und der One-Pager in puncto Übersichtlichkeit sogar schlechter abschnitt als die Langversion. Der geltende One-Pager müsse daher als 1.0-Version aufgefasst werden, konstatierte Kettner abschließend.
Neben vielen Nachfragen zum Aufbau des Experiments und zu verschiedenen Einzelergebnissen – überraschend war etwa, dass es keine signifikanten Unterschiede zwischen verschiedenen Nutzergruppen gab – konzentrierte sich die Debatte auf Aufbau und Inhalte von Datenschutzerklärungen sowie die Frage, ob und wie sich moderne Informationsverarbeitung Nutzer*innen transparent machen ließe. In der Diskussion wurde unter anderem kritisch beleuchtet, welche relevanten Informationen in DSE fehlen würden. Dazu gehöre etwa, an welche Dritten personenbezogene Daten übermittelt würden – häufig stehe dort nur «an Geschäftspartner» oder ähnliches. Auch kämen oft weitestgehend generische Formulierungen zum Einsatz, die sich gar nicht auf die konkrete Datenverarbeitung bezögen. Nicht zuletzt bestünde zudem das grundsätzliche Problem, dass DSE in erster Linie «negative Informationen» enthielten, also Informationen über die Weitergabe von Daten oder lange Speicherpraxen, mit denen sich niemand gerne konfrontiere. Damit werde der Erfolg sämtlicher DSE geschmälert. Eine ähnliche Folge ergebe sich, so die Diskussionsteilnehmer*innen, weil sowohl Datenverarbeitung als auch Datenschutz sich nicht oder nur sehr unzureichend visualisieren ließen.
Privatsphäre-erhaltende Statistiken in Bonuspunkteprogrammen
Samuel Brack und Fabio Tacke (Institut für Informatik, HU Berlin) stellten ein auf der Übermittlung anonymer Daten beruhendes Bonuspunktemodell vor, das es erlaube, das geltende Datenschutzrecht vollständig zu umgehen. Dies liege daran, dass keine personenbezogenen Daten verarbeitet würden, obwohl die möglichen Folgen, etwa im Hinblick auf Preisdiskriminierung, gerade solche seien, vor denen das Datenschutzrecht schützen wolle. Bei dem System handelt es sich trotz des Namens Goodcoin nicht um eine Bitcoin- bzw. Blockchain-Anwendung; vielmehr basiere auf mit nutzergenerierten Pseudonymen verschlüsselten Kassenzetteln in einem Dreiecksverhältnis von Verbraucher*innen, Händlern und (mindestens) einem Systembetreiber. Auf der Basis dieser anonymisierten Kaufdaten könnten dann händler- und produktgruppenspezifische Statistiken erstellt werden. Zur Belohnung der Teilnahme würden den Verbraucher*innen Bonuspunkte gutgeschrieben.
In der Diskussion wurde das zentrale Problem des Systems hinterfragt: So spreche aus Sicht der Händler zwar viel für das Modell, weil sie geltendes Datenschutzrecht umgehen und Kosten sparen könnten. Fraglich sei jedoch aus Verbraucherperspektive, warum sich ein solches Bonuspunkteprogramm für sie lohnen würde. Ferner bestehe die Gefahr, dass der Datenschlüssel vom Systembetreiber an die Händler verkauft werden könne, sodass letztlich eine De-Anonymisierung der Nutzer*innen möglich sei. Denkbar sei allerdings, diese Gefahr durch weitere kryptographische Verfahren einzudämmen. Gleichwohl müsse das Modell kritisch im Hinblick auf weitere mögliche Angreifertypen und Angriffsszenarien geprüft werden. Die Internetökonomie sei aufgrund ihrer Unsichtbarkeit in weit größerem Maße geeignet als Offline-Modelle, die Nutzer*innen in Bezug auf die zu zahlenden Preise zu diskriminieren.
Selbst-Datenschutz als Aufklärung 4.0
Karoline Krenn (Fraunhofer Fokus, Berlin) begann ihren Vortrag mit der Ausgangsthese, dass der Datenschutz auf drei Säulen beruhe, nämlich: (1) Datenschutz durch Technik, (2) Datenschutz durch Regulierung und (3) Selbstdatenschutz. Die Technik habe im Laufe der Jahrhunderte einen Bedeutungswandel erfahren: War sie zunächst Mittel der Naturbeherrschung, sei sie zuletzt zu einem Medium der Aufklärung – im Sinne Kants als Ausgang des Menschen aus seiner selbstverschuldeten Unmündigkeit – geworden. Dies liege an den immer stärker ökonomisch begründeten Herrschaftsverhältnissen: Der technikbasierte Markt steuere und treibe das Geschehen. Als Köder für eine zunehmende Selbstoffenbarung würden dabei Gratifikationen eingesetzt. Selbstdatenschutz (SDS) könne diese Herrschaftsverhältnisse in Frage stellen. Als typische Instrumente des SDS sah Krenn Privacy-Enhancing Technologies (PET) oder das Konzept der Datensparsamkeit an. Gegenwärtig sehe sich der Datenschutz folgenden Problemen ausgesetzt: Netzwerkeffekte (“alle nutzen WhatsApp”), Resignation, mangelnde Opt-Out-Optionen, Ungleichheit aufgrund hoher Kosten des Datenschutzes und Unmündigkeit aufgrund vorgegebener Infrastrukturen. Notwendig sei es deshalb, Wissen um SDS (Privacy Literacy) voranzutreiben, etwa durch Cryptoparties – nur so könne das Privacy-Paradox überwunden werden.
In der anschließenden Diskussion wurde zunächst darauf aufmerksam gemacht, dass das Privacy-Paradox kritisch hinterfragt werden müsse. So lasse sich dieses nicht anhand belastbarer empirischer Forschung feststellen. Vielmehr basiere es letztlich auf Umfragen, die fragwürdig seien, weil sie nicht offenlegten, was unter Privatheit zu verstehen sei. Die Antworten der Befragten, welche auf ihren individuellen Privacy-Verständnissen beruhten, würden von den Forscher*innen vielmehr ausschließlich im Lichte der Privacy-Verständnisse der Forscher*innen betrachtet und gewertet. Im Ergebnis werde die Existenz des Privacy-Paradoxes genau dann bewiesen, wenn das Privacy-Paradox aus der Theorie, der die Forscherinnen und Forscher anhängen, folge, und es werde widerlegt, wenn es aus dieser Theorie nicht folge. Spätestens nachdem Ende 2016 Mulligan, Koopman und Doty überzeugend nachwiesen, dass es sich bei Privacy um ein “essentially contested concept” handele, müsse die Debatte über die unterschiedlichen Verständnisse von Privatheit – und ebenso von Surveillance und Datenschutz – neu geführt werden. Das Konzept des SDS wurde darüber hinaus in der Diskussion als insofern problematisch angesehen, als seine Reichweite unklar sei. So sei etwa ungeklärt, ob auch Auskunftsansprüche Formen des SDS seien. Statt eines Privacy-Paradoxes oder eines Technik-Paradoxes sei vielmehr ein Regelungsparadox festzustellen: Das Recht löst zwar gewisse Probleme, schaffe dabei aber gleichzeitig neue.
Fazit
Besonders bemerkenswert war ein Ringen der einzelnen Disziplinen um die Deutungshoheit der Informationsgesellschaft: Während etwa von Seiten der Informatik oftmals die Unzulänglichkeit juristischer Konzepte wie das der personenbezogenen Daten oder der Privatheit konstatiert wurden, betonten sozial- und rechtswissenschaftliche Beiträge die Notwendigkeit einer demokratisch legitimierten Technik- und Infrastrukturgestaltung. Der Workshop hat daher sein selbst gesetztes Ziel, die Vertreter*innen ihrer jeweiligen Disziplin zu einem Perspektivwechsel und einem kritischen Hinterfragen der eigenen Disziplin anzuregen, erreichen können.
Aufgrund des großen Andrangs wurde schließlich verabredet, neben den traditionellen Juni- und Dezember-Terminen im HIIG noch mindestens ein weiteres Treffen (etwa im März oder September) anzuberaumen. Es gibt bereits erste Angebote, den Workshop an anderen Orten auszurichten.
Die Autoren des Textes sind Jörg Pohle, Marie-Christine Dähn und Johannes Eichenhofer.
Dieser Beitrag spiegelt die Meinung des Autors und weder notwendigerweise noch ausschließlich die Meinung des Institutes wider. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de. |
Jetzt anmelden und die neuesten Blogartikel einmal im Monat per Newsletter erhalten.