Interview mit Gregor König, Head of Data Protection Office
Digitale Dienstleister sammeln im Hintergrund sehr viele Daten. Diese werden analysiert und finden immer häufiger Anwendung für personalisiertes Marketing und/oder Produkt-/ Dienstleistungsangebote. Wie ist Ihre Meinung dazu? Ist dies eher von Vorteil/Nachteil für den Nutzer?
Wie vieles im Leben hat auch zielgerichtetes Marketing sowohl Vorteile als auch Nachteile. Dem Vorteil beispielsweise keine persönlich uninteressanten Werbeangebote zu erhalten steht der Nachteil gegenüber, dass dies nur durch genaue Kenntnis der Interessen und Vorlieben der betroffenen Person möglich ist, also durch eine entsprechende Profilbildung. Das mag dem durchschnittlichen Adressaten auch bewusst sein, die Art, Tiefe und der Inhalt dieser Profile sind es aber in der Regel nicht.
Hier setzt die Datenschutz-Grundverordnung (DSGVO), das seit Mai 2018 in Geltung befindliche neue Datenschutzrecht an, indem es solchen Profilen Transparenz vorschreibt und grundsätzlich ein Einverständnis (das auch im Zuge der Vertragserstellung erfolgen kann) zugrunde legen möchte. Damit soll jeder selbst beurteilen, ob für sie oder ihn die Vorteile oder Nachteile überwiegen – eben mit der Prämisse, dass ich diese Datenverarbeitung kenne und durchschauen kann.
Eine Vielzahl von Apps ist für die User/Anwender kostenlos verfügbar. Die Daten eines einzelnen Users mögen theoretisch nahezu „wertlos“ sein, doch die Menge machts. Welche Arten von Daten, die User bereitwillig zur Verfügung stellen, sehen Sie als eher „kritisch“ bzw. „unkritisch“ an?
Auch hier spielt wieder die Transparenz eine Rolle. Mir muss bei der App-Nutzung zunächst auch wieder bewusst sein, welche Daten diese App auf welche Art benutzt, auf welche anderen Funktionen oder Informationen sie zugreift und mit wem diese Daten geteilt werden. Was als „kritisch“ einzustufen ist, ist nämlich zu einem großen Anteil eine sehr subjektive Entscheidung, abhängig vom Alter oder auch der Technikaffinität der betroffenen Personen. Die DSGVO hat dazu natürlich auch einen objektiven Maßstab und schützt „besondere Kategorien von personenbezogenen Daten“, so der Fachbegriff, auch besonders. Dazu zählen neben der politischen Meinung und der Gewerkschaftszugehörigkeit (insbesondere in der Praxis relevant) die Religionszugehörigkeit oder Gesundheitsdaten sowie biometrische Daten. Diese Einteilung ist ein Anhaltspunkt für Kritikalität, in der Praxis ist aber wie ausgeführt entscheidend, mit der Verwendung welcher Daten ich persönlich ein Problem habe. Wir müssen auch einsehen, dass für viele Personen, insbesondere der jüngeren Generationen, Privacy und Datenschutz, eine geringere oder zumindest andere Rolle spielt als die Ausrichtung der Gesetzgebung. So werden eben Pulsfrequenz, Kalorienverbrauch aufgezeichnet und geteilt, jegliche Vorlieben oder Tätigkeiten über soziale Netzwerke verbreitet oder Bewegungsprofile zugunsten detaillierter Vermessung der Welt in Kauf genommen.
In sozialen Netzwerken wird der persönliche (face-to-face) Kontakt nicht vorausgesetzt. Worin sehen Sie die Gründe, dass soziale Netzwerke so erfolgreich sind? Wird der zwischenmenschliche Kontakt unbedeutend/unwichtig bzw. gar abgeschafft? Was bedeutet das für die Gesellschaft?
Die leichte Verfügbarkeit von Informationen hat sicherlich Auswirkungen auf die Gesellschaft – Stichwort Informationsgesellschaft. Das findet auf allen Ebenen statt – bei Unternehmen wird oft von Industrie 4.0 gesprochen, im privaten Umfeld geht diese Entwicklung oft mit der Diskussion einher, ob es so etwas wie Privatsphäre/Privacy überhaupt noch gibt oder ob wir durch unseren permanent gewordenen Informationsbedarf, der gleichzeitig Quelle für neue Informationssammlungen darstellt, nicht sowieso auf dieses (derzeit) Grundrecht verzichten. Ich würde mir hier eine breite gesellschaftliche Diskussion wünschen, losgelöst vom politischen Geschehen. In den letzten Jahren und Jahrzehnten lassen wir uns hier sehr stark von der technischen Entwicklung treiben, die uns den Nutzen ihrer Errungenschaften schmackhaft macht, ohne kritisch in eine Diskussion einzusteigen. Für soziale Netzwerke beispielsweise würde eine solche Diskussion heute nicht mehr per se Sinn machen, sondern lediglich dort, wo soziale Netzwerke für Manipulation von Meinungsbildung missbraucht werden.
Big Data – Anwendungen nutzen eine Vielzahl von Algorithmen, d.h., Berechnungsvorschriften zur Lösung von Problemen aller Art. Diesen wird gerne nachgesagt/unterstellt, dass sie „objektiv“ sind. Wie „objektiv“ kann Big Data sein, wenn die Berechnungsvorschriften von Programmierern umgesetzt werden? Kennen Sie Anwendungen, bei denen das Fehlen jeglicher „Subjektivität“ gewünscht sein kann, d.h., diese Probleme besser lösen könn(t)en als Menschen und/oder öffentliche Organe?
Die Umsetzung von Anwendungen durch menschliche Programmierer verhindert noch nicht Objektivität einer Anwendung – sonst wäre Forschung sowie wissenschaftliche Erkenntnisse, die lege artis gewonnen wurden, grundsätzlich nicht möglich. Aber anwendungsseitig betrachtet gibt es natürlich auch bei Big Data alle möglichen Formen von sinnvoll bis weniger sinnvoll und gesellschaftspolitisch erwünscht bis weniger erwünscht (obwohl eine breite Diskussion fehlt, haben wir doch einen gewissen Grundkonsens in manchen Fragen).
- Wollen wir eine bessere Verkehrsleittechnik auf der Straße beziehungsweise im Navigationsgerät unseres Autos? Wohl ja.
- Wollen wir eine einzelfallbezogene Einordnung des Konsumenten in ein Versicherungssystem abhängig von seinem individuellen Lebenswandel? Wohl nein.
- Wollen wir mithilfe von Datenmengen Krankheiten besser analysieren können beziehungsweise gewisse Krankheitsbilder ausrotten? Wohl ja.
- Wollen wir, dass einzelne Personen mit entsprechendem finanziellen Hintergrund in der Lage sind, demokratische Wahlen zu beeinflussen? Wahrscheinlich nicht.
Rechtlich gesehen hat die DSGVO übrigens die Chance verabsäumt, spezifischer auf das Phänomen Big Data einzugehen – zwar möchte man Datenverwendern die weitere Verarbeitung von personenbezogenen Daten bei kompatiblen Zwecken ermöglichen, allerdings ist das sehr unscharf formuliert (sowohl in juristischen Kreisen als auch in der Wirtschaft wird über den genauen Anwendungsbereich diskutiert) und überdies mit keinerlei spezifischen mitigierenden Maßnahmen hinterlegt.
Die chinesische Regierung plant bis 2020 zur Steigerung der „Aufrichtigkeit in Regierungsangelegenheiten“ aller chinesischen Staatsbürger ein Sozialkredit-System einzuführen. Dieses läuft bereits auf freiwilliger Basis und greift auf verschiedene Datenbanken zu, welches so unterschiedliche Daten wie Kreditwürdigkeit, Strafregisterauszug, etc. zur Ermittlung der Reputation heranzieht. Wie sehen Sie diese Entwicklung? Soll es dem Staat möglich sein, seine Bürger in „genehme“ bzw. „nichtgenehme“ Bürger zu unterscheiden bzw. bei Wohlverhalten zu belohnen oder zu sanktionieren/bestrafen?
1984 lässt grüßen. Diese Entwicklung ist tatsächlich sehr kritisch zu betrachten. Ich glaube auch, dass sie im heutigen Europa – trotz der inhomogenen politischen Lage – vor dem Hintergrund unserer Grundwerte und auch der rechtlichen Entwicklung unserer Bestimmungen dazu, eben insbesondere der DSGVO und des grundrechtlich verankerten Rechts auf Privatsphäre, nicht möglich ist. Ich würde aber nicht die Hand dafür ins Feuer legen, dass wir eine solche Entwicklung, vielleicht auch nur in reduzierter Form, in den nächsten Jahrzehnten nicht auch auf staatlicher Ebene bei uns sehen. Derzeit ist der Informationshunger von staatlichen Einrichtungen zwar auch in Europa oder Österreich hoch, allerdings wird auch sehr viel Wert darauf gelegt, dass solche Datensammlungen als Inseln bestehen bleiben – also keine Verknüpfungen untereinander bestehen beziehungsweise entstehen beziehungsweise daraus keine mit rechtlich nachteiligen Folgen verbundene Entscheidungen abgeleitet werden.
Wie sehen Sie diese Problematik bei Unternehmen? Aus der Sicht des Unternehmen positives Verhalten belohnen, zum Beispiel durch Boni, geringer Entgelte, etc. oder bestrafen bzw. von einer Dienstleistung völlig ausschließen?
Im unternehmerischen Bereich ist eine solche Profilierung nur dort als zulässig anzusehen, wo es nicht um Leistungen oder Güter geht, die der Grundversorgung dienen oder bei welchen eine Monopolstellung besteht. Abgesehen davon ist auch datenschutzrechtlich gegen ein solches Bonus/Malus-System nichts einzuwenden, wenn für die betroffene Person Transparenz und Wahlfreiheit herrscht. Da gibt es ja bereits jetzt einige Beispiele aus der Praxis, insbesondere aus dem Versicherungsbereich. Basisprodukte bei zum Beispiel Versicherungen oder Banken müssen aber meines Erachtens auch ohne Profilbildung mit Folgenableitung verfügbar sein. Ebenso ist der gänzliche Ausschluss von einer Dienstleistung als kritisch zu betrachten und muss an nachvollziehbare, schwerwiegende Kriterien gebunden sein, die von vornherein transparent vermittelt worden sind.
Können bzw. sollen ethische/moralische Überlegungen in Big Data-, Künstliche Intelligenz-, etc. Anwendungen implementiert werden (z.B. in Anwendungen wie Autopiloten im Falle eines Unfalles, etc.)?
Ich halte das für einen ganz wichtigen Punkt. Nicht nur in dem von Ihnen genannten Beispiel, wie datengesteuerte Prozesse in moralischen Dilemmata zu reagieren haben – zumal sie im Vergleich zum menschlichen Entscheidungsprozess durch Geschwindigkeit mehr Möglichkeiten gewinnen, sondern bereits bei der Frage, ob wir als Gesellschaft eine bestimmte Verwendung von Informationen überhaupt wollen. Wollen wir über soziale Netzwerke den Ausgang von demokratischen Wahlen beeinflusst haben? Wollen wir den staatlichen Institutionen mehr und mehr Daten für die Verbrechensbekämpfung zum Preis unserer Privatsphäre legal in die Hände spielen? Ich meine das weder wertend in die eine oder andere Richtung, aber das sollten die politischen und gesellschaftlichen Diskussionen dieses Informationszeitalters sein. Rechtliche Diskurse allein werde diese Fragen nicht beantworten können.
Aus Sicht des Konsumenten/Users: hat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union positive Auswirkungen für den Nutzer? Kann der Gesetzgeber mit den Entwicklungen im Bereich Big Data, AI, KI überhaupt Schritt halten?
Der Gesetzgeber wird mit der technischen Entwicklung, zumal diese immer rasanter wird, nie wieder Schritt halten können, alles andere zu glauben wäre illusorisch. Die Reaktion eines Gesetzgebers – oder auch die Vorgaben von sonstigen staatlichen Institutionen – können sich nur auf einer allgemeinen und technikneutralen Ebene bewegen, um ein „level playing field“ für die technischen Entwicklungen zu schaffen. An sich ist das zum Beispiel mit der DSGVO ganz gut gelungen – als Adressat einer solchen Regelungen ist man aber natürlich am Verzweifeln, weil die Unbestimmtheiten nicht zulassen, dass man sich angesichts der Umsetzung zum Beispiel in einem Unternehmen nicht sicher sein kann, dass das die kontrollierenden Behörden auch so sehen. Auch hier wäre daher ein Umdenken gefordert, weg von der Kontrolle nach Punkt und Beistrich und hin zur Kontrolle der Einhaltung der Ziele einer Regelung.
Wichtige rechtliche Hinweise:
Prognosen sind kein zuverlässiger Indikator für künftige Entwicklungen.