isoc.de

Max Schrems, bewaffnet mit einigen juristischen Vorkenntnissen, legt sich mit Facebook an und gewinnt vor dem Europäischen Gerichtshof (EuHG): Respekt! Das Safe harbor-Abkommen wurde als Papiertiger entlarvt. Personenbezogene Daten genießen in den USA nicht den Schutz, der Ihnen nach europäischem und internationalen Recht zusteht. Insbesondere die NSA, verschafft sich großzügig — gedeckt durch den 2001 verabschiedeten USA PATRIOT Act — Zugang zu den Daten. Also Schluss jetzt, personenbezogene oder personenbezogen Daten Daten dürfen nicht mehr ohne weiteres von Europa nach USA transferiert werden. Es sei denn es gibt:

• Corporate Binding Rules — also unternehmensweite Regeln, die den Schutz der Daten sicher stellen,
• Auftragsdatenverarbeitung — also einen Vertrag, der den Datenschutz sicher stellt,
• Einwilligung des Betroffenen.

Für eine Datenübertragung in die USA können Corporate Binding Rules und Auftragsdatenverarbeitung nicht mehr angewandt werden. Denn die Gewährleistung des Datenschutzes bricht USA-Recht nach dem o.g. Patriot Act. Auch mit der Einwilligung der Betroffenen sieht es schlecht aus. Viele Datenschutzbeauftragte vertreten die Ansicht, dass in diesem Fall eine ausführliche Erläuterung der Konsequenzen — also u.a. mögliche Ausspähung durch NSA — erfolgen muss.

Setzt der EuHG mit seinem Urteil also einen breiten Schutz sensibler Daten durch? Zumindest lenkt das Urteil den Blick der Öffentlichkeit auf eine brisante Thematik. Allerdings: das Urteil betrifft weder nur sensible Daten, noch bietet es einen breiten Schutz.

Mittlerweile sind viele Informationen, die im Netz übertragen werden, peronenbezogen oder personenbeziehbar, hochsensibel oder eher nicht oder aber in Verbindung mit anderen Daten doch wieder sensibel. Handies, Fitness Tracker, Autos, Fernseher, Smart Meters, Home Automation, Kameras, Wearables, das Internet of Things und nicht zuletzt PCs senden persönliche Daten — oft unverschlüsselt — über das Internet und irgendwo werden sie gespeichert. Techniken wie Biometrie (z. B. Gesichtserkennung), Spracherkennung oder AI-Techniken erschließen nicht direkt nutzbare Daten. Gelegentlich rutscht einem der Datensammler heraus, was man mit den Daten so alles anstellen kann und gelegentlich auch anstellt. So prahlte bekanntlich Uber, seine Daten würden den Fahrervermittlungsdienst in die Lage versetzen, festzustellen, wer wann und wo One-Night-Stands hatte. Uber ist eher ein kleiner Fisch, was die technischen Möglickeiten und die Datenmengen angeht. Die großen wie Google, Apple, Amazon, Microsoft treiben mit Nachdruck Technologien zum Erschließen, Verknüpfen und Anwenden von Daten voran. Der Big Data Hype (bei dem es um die Auswertung rasch fließender, überwiegend personenbezogener Daten geht) ist noch nicht vorbei, da rollt mit Cognitive Computing die nächste Welle an.

Die meisten Datensammlungen werden mit dem Ziel durchgeführt bessere Dienste für den Benutzers zu erbringen. Suchmaschinen liefern um so bessere Ergebnisse, je mehr sie über den Fragensteller wissen. Persönliche Assistenten wie Siri, Google Now oder Cortana arbeiten umso besser, je mehr sie über Ihre “Chefs” wissen. Das merken auch die Benutzer und liefern bewusst oder unbewusst weitere Informationen über sich. Es sammeln sich Berge von Daten an, von denen derzeit nur ein Teil genutzt werden werden kann. (Mehr zum Daten sammeln und Verknüpfen, sowie die faszinierende Möglichkeit von unexpected reuse der Daten in meinem Artikel “Wie und wo Computer rasant ihr Wissen vermehren“.)

Die Techniken, die für die kommerzielle Anwendung von Daten zum Einsatz kommen, sind oft weitaus subtiler als das, was die NSA oder der BND mit den Daten veranstalten. Auch die Erschließungsmöglichkeiten werden immer subtiler. Man kann z. B. davon ausgehen, dass Google, Facebook und Amazon bestens informiert darüber sind, welche Websites man besucht hat, wenn man nicht eine Reihe von nicht trivialen Vorkehrungen getroffen hat, dies zu verhindern (siehe auch Datenschutz im Zeitalter Sozialer Netze).

Die Themen, die jetzt für den Datenschutz anstehen sind eher nicht, wo die Daten letztlich gespeichert werden. Wir sollten uns um die Geheimdienste nicht so große Sorgen machen: solange ein großer Teil der Informationen unverschlüsselt oder schlecht verschlüsselt über das Netz läuft, kommen die an das, was sie suchen. Vorhersehbar war, dass aus interessierten Kreisen die Idee gefördert wird, den Datenschutz dadurch zu stärken, dass man nationales Routing und nationale Dienste vorschreibt (siehe auch Balkanisierung des Internet kein geeignetes Konzept für mehr Datenschutz und Datensicherheit). Unsere Sorge sollte Fragen gelten wie:

• Wie begrenzt und kontrolliert man die den Datenmilliardären unweigerlich zuwachsende Macht (deren Statement: “Wir sind die Guten”” reicht da eher nicht)?
• Wie verhindert man (unexpected) Missbrauch der Daten?
  Wie schützt man die Daten und die aus Ihnen gewonnen Schlussfolgerungen vor Diebstahl und Verfälschung?
• Wie realisiert man direkte Nutzeransprüche auf Rückgabe oder Löschung von Daten, wie handhabt man dann aus den Daten gezogene Schlussfolgerungen?

Zugegeben: die Fragen sind weder komplett noch unbedingt richtig gestellt. Und die Antworten liegen keineswegs auf der Hand. Gute Ideen und Kreativität (technisch und politisch) sind gefragt. Wenn wir auf Dauer ein freies und offenes Internet haben wollen, müssen wir zeitgemäße Antworten finden und zwar auf Basis eines globalen Konsenses. Die Hoffnung, dass der Markt es regeln wird, ist eher fehl am Platz. Vielleicht wäre eine Aufgabe für ISOC, dieses Thema — also nicht Datenschutz allgemein, sondern den Schutz der großen Datenberge und die Rechte der Nutzer an diesen Daten — im politischen (UN, IGF …) und technischen (IETF, W3C) Raum auf den Tisch zu legen.

One Response to “Daten schützen durch Einsperren?”