Swiss IT Magazine: Die Entwicklung in Richtung Data Driven Society (Daten werden zum Rohstoff) bringt laut Ihrem 21. Tätigkeitsbericht eine Gefährdung der Privatsphäre mit sich. Welche datenschutzrechtlichen Probleme tun sich bei Big Data auf?
Hanspeter Thür: Mit der zunehmenden Digitalisierung wird heute praktisch alles öffentlich. Die Menge an gesammelten und gespeicherten Daten wächst exponentiell, und das Interesse daran ist von kommerzieller Seite her riesig. Durch hohe Rechnerkapazitäten und automatisierte Analyseverfahren können heute Aussagen über Verhaltensmuster von Einzelpersonen gemacht werden, sodass die Privatsphäre in akuter Gefahr ist. Wir sprechen auch vom «gläsernen Menschen». Ein weiteres Problem liegt in der Unkontrollierbarkeit der Datenbearbeitung und darin, dass die elementarsten Datenschutzgrundsätze wie Transparenz und Zweckbindung missachtet werden. Wenn wir die Kontrolle darüber verlieren, was mit unseren Daten geschieht, wird das Recht auf informationelle Selbstbestimmung verletzt. Das kann sehr gravierende Folgen haben.
Wann können Big Data oder die damit gewonnenen Erkenntnisse für Personen und Unternehmen gefährlich werden?
Big Data ist aus Datenschutzsicht problematisch, weil die berechneten Muster keine gesicherten Erkenntnisse und Kausalitäten darstellen. Alles beruht auf Wahrscheinlichkeiten. Big Data bedroht die Privatsphäre, wenn Informationen von Einzelpersonen aus verschiedenen Lebensbereichen systematisch und strukturiert gesammelt und ausgewertet werden. Gestützt auf Wahrscheinlichkeitsszenarien lassen sich auch aus scheinbar harmlosen Informationen detaillierte Aussagen über den Privatbereich einer Person machen, die weitreichende Folgen für die betroffenen Personen haben können. Eine Versicherung könnte zum Beispiel Leistungen verweigern, weil die Analyse der Gesundheitsdaten mit hoher Wahrscheinlichkeit das Auftreten einer Krankheit vorhersagt. Oder die Bonitätsbewertung einer Person könnte durch Faktoren negativ beeinflusst werden, die in keinem direkten Zusammenhang mit ihrer Zahlungsmoral stehen: Kaufkraft der Mitbewohner, Arbeitslosenrate des Quartiers, Nationalität etc. Dann besteht die Gefahr, dass eine schlechte Bonität erhält, wer in einem schlecht angesehenen Quartier wohnt.
Wie können die zentralen Grundsätze des Bundesgesetzes über den Datenschutz (DSG) wie Einwilligung oder Transparenz bei Big Data eingehalten werden?
Darauf gibt es heute leider noch keine befriedigende Antwort, weil noch keine verlässlichen Konzepte bestehen. Aber es gibt verschiedene Ansätze, den immensen Herausforderungen von Big Data aus datenschutzrechtlicher Perspektive zu begegnen. Einerseits könnte die Forderung nach einem digitalen Grundrecht ein Weg sein, personenbezogene Daten unter die alleinige Verfügungsgewalt des Einzelnen zu stellen. Ein anderer Ansatz möchte regulatorische Massnahmen einführen, basierend auf einer förmlichen Datenschutzprüfung von Big-Data-Anwendungen und dem Einsetzen einer Kontrollinstanz, die die Big-Data-Anwendungen überprüft und wenn nötig einschreitet.
Wie kann das Dilemma zwischen dem ökonomischen Potential und der Gefährdung des Daten- und Persönlichkeitsschutzes durch Big Data gelöst werden?Das ist sehr schwierig, weil hier ein fundamentaler Interessenkonflikt vorliegt. Mit Big Data wollen die privatwirtschaftlichen Akteure Mehrwert schaffen, sprich Profit erzielen. Grundlegende Prinzipien des Datenschutzes werden durch Big Data in Frage gestellt. Eine Möglichkeit besteht zwar in der Anonymisierung der Personendaten, sodass keine Rückschlüsse auf einzelne Personen möglich sind, aber auch diese Möglichkeit ist unbefriedigend, weil bei der Verknüpfung mit anderen anonymen Datenbeständen eine De-Anonymisierung erfolgen kann.
Welche gesetzlichen Rahmenbedingungen und Massnahmen braucht es?
Um den Herausforderungen von Big Data angemessen zu begegnen, ist eine grundlegende Überprüfung des Datenschutzgesetzes nötig. Wir begrüssen daher die vom Parlament geforderte Schaffung einer interdisziplinären Expertenrunde, welche die Situation umfassend analysiert und Lösungsansätze entwickelt, um den verfassungsmässigen Anspruch auf Schutz der Privatsphäre in Zukunft zu garantieren. Ein Ansatz geht dahin, dass der Datenschutz bei der Entwicklung neuer Technologien und Verfahren schon in der konzeptionellen Phase berücksichtigt wird. Man spricht von «privacy by design» und «privacy by default».
Inwieweit ist man heute bereits geschützt, und was fehlt noch?
Das DSG definiert die wichtigsten Prinzipien zum Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Die wichtigsten Grundsätze sind Transparenz, Zweckbindung, Datenrichtigkeit und Einwilligung der betroffenen Person. Immer wenn Personendaten bearbeitet werden, muss das Recht auf Privatsphäre und der Schutz von Personendaten gewahrt werden. Das gilt auch bei Big Data. Es muss deshalb bei einer datenschutzfreundlichen Ausgestaltung der Technik und Verfahren von Big Data angesetzt werden. Der Datenschutz muss schon in der konzeptionellen Phase berücksichtigt und die Datensicherheit gewährleistet werden. Zudem sind hohe Transparenz- und Verfahrensanforderungen an Big Data zu stellen. Auf Seite der Betroffenen ist wichtig, dass diese mehr Eigenverantwortung bei der Preisgabe von persönlichen Daten übernehmen (informationelle Selbstbestimmung) und im Einzelfall gut überlegen, welche Daten über sie im Internet veröffentlicht werden sollen, sei es in sozialen Netzwerken oder beim Einkaufen im Internet. Die Sensibilisierung in der Bevölkerung für einen zurückhaltenden Umgang mit ihren persönlichen Daten ist noch unzureichend.
Woran liegt das?
Das hat wohl damit zu tun, dass die Problematik von Big Data relativ neu und schwer fassbar ist. Die Datenauswertungen laufen im Verborgenen ab und sind für die Betroffenen auch bei Kenntnis des Algorithmus nicht nachvollziehbar. Generell hat das Bewusstsein für den Datenschutz in der letzten Zeit aber zugenommen. Vielen Nutzern ist es nicht mehr egal, was mit ihren Daten geschieht. Das hat sich etwa an den Reaktionen der Userinnen und User nach dem Verkauf von Whatsapp an Facebook gezeigt. Aber obwohl das Verknüpfen der Daten aus sozialen Netzwerken mit Kommunikationsdaten von den Betroffenen als problematisch angesehen wird, tun wir nichts gegen die Nutzung und Bekanntgabe von Personendaten an solche Dienste. Wir gehen heute noch viel zu gleichgültig mit unseren Personendaten um und unterschätzen ihren Wert. Die Betroffenen reagieren oft erst dann, wenn sich die Auswirkungen der digitalen Spuren in der realen Welt zeigen, zum Beispiel bei Phishing aufgrund im Internet publizierter Informationen.
(abr)