Im Märzheft des Wirtschaftsmagazins „brand eins“ ist ein sehr lesenswerter Artikel erschienen mit dem Titel „Das große Unbehagen“ (brand eins online, Ausgabe 03/2014 – Schwerpunkt Beobachten). Es geht um die Snowden-Enthüllungen und die weit verbreitete Furcht vor staatlicher Ãœberwachung.
Hans Peter Bull kommt zu Wort. Bull war der erste Bundesbeauftragte für Datenschutz von 1978 bis 1983. Er hält die Praktiken der NSA für einen „Riesenskandal“, warnt zugleich jedoch vor einer allzu starken Fokussierung auf das „Mögliche“:
„Der Fehler ist, dass immer vom Möglichen die Rede ist und nicht gefragt wird, wer was davon wirklich nutzt.“
[„Das große Unbehagen“, brand eins online, Ausgabe 03/2014 – Schwerpunkt Beobachten (zweiter Absatz zu „Angstmacherei“ a.E.)]
Bull trifft ins Schwarze.
Daten zu sammeln allein genügt nicht
Seit Monaten wird intensiv über die Sammelwut amerikanischer, britischer und auch deutscher Geheimdienste diskutiert. Zugleich wird viel zu wenig gefragt, zu welchen Zwecken die Datenbestände tatsächlich genutzt werden. Eine Frage, die keineswegs nebensächlich ist. Denn Millionen Standortdaten, Verbindungsdaten oder auch Webcam-Bilder (vgl. „Britischer Geheimdienst spionierte Millionen Yahoo-Webcams aus“, Zeit online v. 27.2.2014) bedrohen die Bürgerrechte der Betroffenen nur latent, solange sie lediglich vorgehalten und gespeichert werden. Zu einer sehr realen Bedrohung werden diese Daten erst in dem Moment, in dem sie zur gezielten Ausspähung einzelner Bürger genutzt werden.
Oder anders gesagt: Die bloße Speicherung von Standortdaten meines Smartphones mag ich als „diffus bedrohlich“ empfinden (vgl. BVerfG, Urt. v. 2.3.2010 – 1 BvR 256/08, 1 BvR 263/08 u. 1 BvR 586/08 – Rz. 212, CR 2010, 232 (235 letzter Absatz zu Punkt IV.4.a) m. Anm. Heun). “Real bedrohlich“ wird diese Speicherung erst, wenn mir ein Beamter anhand dieser Daten eine Straftat nachweisen möchte.
Beispiel:Â Vorratsdatenspeicherung
Die Vorratsdatenspeicherung ist das beste Beispiel für die übertriebene Fokussierung auf das „Mögliche“. Seit Jahren wird in der Öffentlichkeit nahezu ausschließlich über eine Speicherfrist diskutiert (vgl. jüngst Diercks, „Von der Vorratsdatenspeicherung (VDS), Geheimdiensten (NSA & Co) und privaten Datenkraken (Facebook, Google)“, Social Media Recht Blog v. 25.2.2014). Dabei ist in Vergessenheit geraten, dass das BVerfG eine sechsmonatige Speicherung grundsätzlich gebilligt hat und dem Gesetzgeber ganz andere „Hausaufgaben“ erteilt hat:
„Die Verwendung der durch eine anlasslos systematische Speicherung praktisch aller Telekommunikationsverkehrsdaten gewonnenen Datenbestände unterliegt dementsprechend besonders hohen Anforderungen…. Da eine Auswertung dieser Daten tief in das Privatleben eindringende Rückschlüsse und unter Umständen detaillierte Persönlichkeits- und Bewegungsprofile ermöglicht, kann insoweit nicht ohne weiteres davon ausgegangen werden, dass der Rückgriff auf diese Daten grundsätzlich geringer wiegt als eine inhaltsbezogene Telekommunikationsüberwachung…. Vielmehr kann auch die Verwendung solcher Daten nur dann als verhältnismäßig angesehen werden, wenn sie besonders hochrangigen Gemeinwohlbelangen dient. Eine Verwendung der Daten kommt deshalb nur für überragend wichtige Aufgaben des Rechtsgüterschutzes in Betracht, das heißt zur Ahndung von Straftaten, die überragend wichtige Rechtsgüter bedrohen oder zur Abwehr von Gefahren für solche Rechtsgüter.“
[BVerfG, Urt. v. 2.3.2010 – 1 BvR 256/08, 1 BvR 263/08 u. 1 BvR 586/08 – Rz. 227, CR 2010, 232 (235 Punkt V.2. m. Anm. Heun) (Hervorhebung nicht im Original)]
Welche „besonders hochrangigen Gemeinwohlbelange“?
Eine Verständigung über die „besonders hochrangigen Gemeinwohlbelange“, die eine Nutzung von Verbindungsdaten rechtfertigen können, gibt es bis heute nicht.
Ganz im Gegenteil: Mit großer Selbstverständlichkeit lässt man es zu, dass Verbindungsdaten massenhaft abgefragt werden, um (tatsächliche oder vermeintliche) Verletzungen des Urheberrechts zu sanktionieren (vgl. Härting, „Was man aus Redtube für den Datenschutz und die Vorratsdatenspeicherung lernen kann“, CRonline Blog v. 23.1.2014).
- Bekämpfung von Straftaten und anderen Rechtsverletzungen?
Geht es einmal tatsächlich darum, ob es erlaubt sein soll, Standort-, Verbindungs- und andere Kommunikationsdaten zur Bekämpfung von Straftaten und anderen Rechtsverletzungen zu nutzen, wird erstaunlich oft einer Erlaubnis das Wort geredet:
- Ein Verbot anonymer Meinungsäußerungen im Netz forderte Der Berliner Landesdatenschutzbeauftragte Alexander Dix im September 2012. Begründung: „Nur so können Datenschutz- und andere Rechtsverstöße verfolgt werden.“ [Dix, „Datenschutz: Thesen zum 69. Deutschen Juristentag München“, medienpolitik.net v. 10.9.2012 (These 8.)]
- Vertrauen in sofortige Datenlöschung: Als Anfang 2012 bekannt wurde, dass der BND im Jahre 2010 massenhaft E-Mails durchforstet und 37 Mio. „Treffer“ gemeldet hatte, fiel die Kritik hierzulande äußerst verhalten aus. Man vertraute auf den „Schutz des Grundgesetzes mit der Pflicht zur sofortigen Datenlöschung“ (vgl. Härting, „Geheimdienste: Berechtigte Kritik an den USA und blindes Vertrauen in Deutschland“, CRonline Blog v. 11.6.2013).
- Datensparsamkeit?
Oft hört man zudem den Satz, dass „Datensparsamkeit“ der beste Schutz gegen eine Ausspähung der Bürger sei. Je weniger Daten es gibt, desto weniger können diese Daten zu Zwecken der Überwachung missbraucht werden.
Diese einfache Logik überzeugt indes nur auf den ersten Blick: Jeder deutsche Normalbürger hinterlässt Tag für Tag unendlich viele „Datenspuren“: Verbindungsdaten, Kommunikationsdaten, Standortdaten, E-Mails, IP-Adressen, Kreditkartendaten…. Die Frage, wer diese Daten zu welchen Zwecken nutzen darf, bedarf einer Antwort. Dasselbe gilt für die Frage nach der Bestimmung „besonders hochrangiger Gemeinwohlbelange“, die eine Verfolgung von „Datenspuren“ erlauben.
Da heißt es Farbe bekennen:
– Soll es für eine Rückverfolgung bereits reichen, wenn man gegen einen Verleumder oder Stalker oder gegen einen Raubkopierer vorgehen möchte?
– Oder muss es sich um schwerwiegende Straftaten, um Mord und Totschlag, um Terrorismus und Menschenhandel gehen?
Farbe bekennen heißt ggf. auch, dass man es für hinnehmbar erachtet, dass der Raubkopierer, der Erpresser oder Mobber ungeschoren davonkommt, weil Polizei, Justiz und Geschädigten der Zugriff auf „Datenspuren“ verwehrt bleibt.
Die entscheidende Frage zu Datenspuren:
Ob man es will oder nicht: Die „Datenspuren“ sind vorhanden, sie lassen sich nicht im Zeichen der „Datensparsamkeit“ einfach wegwünschen. Auch wenn man eine schnelle Löschung vorschreibt oder nur kurze Speicherfristen festlegt, muss man Regeln für die Nutzung dieser Daten diskutieren:
Die Frage, „wer was wirklich nutzt (und nutzen darf)“, gehört daher viel stärker als bisher auf die Tagesordnung.
2 Kommentare
Eines vorweg: Ja, wir reden viel zu wenig über die konkrete Nutzung von Daten.
Gleichwohl ist es nach wie vor nicht hinnehmbar, sich der faktischen Datensammelwut, von wem auch immer, zu beugen. Auch insoweit fehlen nach wie vor klare Regelungen. Die Regelungen zum Schutz von personenbezogenen Daten sind insoweit nicht mehr zeitgemäß und nicht hilfreich. Sie haben ja schon in diversen Veröffentlichungen auf die Problematik aufmerksam gemacht (z.B. CuR 11/2013).
Interessant wird es künftig sein, wie sich die Rechtsprechung zur Einschränkung des Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse angesichts von Big Data Analytics und seinen Möglichkeiten (und Gefahren) entwickeln wird. Die vorgenommenen Restriktionen, die das BVerfG dem Staat bei der Erhebung, Speicherung und Verarbeitung personenbezogener Daten vorgegeben hat, dürften jedenfalls angesichts des Umstands, dass private Gesellschaften wie Google, Facebook und Amazon über weit mehr Daten und Auswertungsmöglichkeiten verfügt als der Staat selbst nicht mehr den Stand der Überlegungen des Senats im Zeitpunkt des Volkszählungsurteils widerspiegeln. Man wird sich die Frage stellen müssen, ob es sein kann, dass nur der Staat offenlegen muss, wann über wen er was bei welcher Gelegenheit weiß.
Die Fragestellung nach „realen“ Bedrohungsszenarien halte ich in diesem Zusammenhang für gefährlich und naiv. Es gibt einen Grund, warum die massenhafte Speicherung von Daten schon heute zu einer sehr realen Gefahr für den Einzelnen geworden sind. Es scheint auf den ersten Blick einleuchtend, dass die NSA nicht jedes Telefonat durch Menschen abhört und aus den gewonnenen Erkenntnissen Handlungen ableitet. Viele haben sich gefragt, warum die Geheimdienste massenhaft Daten sammeln und diese nicht wieder löschen. Wozu die gigantischen Storage-Farmen, die das NSA aufgebaut hat? Kein Mensch wird je dazu kommen, meine ggfs. aufgezeichneten Telefonate, E-Mails und sonstige Daten über mich und die Kommunikation mit meinen Mandanten abzuhören. Kein Mensch – das ist der entscheidende Punkt. Wohl aber Maschinen. Und hier kommt Big Data ins Spiel.
Big Data Analytics lebt von der Mathematik. Die zentralen Bereiche sind dabei Statistik, machine learning und natural language processing. Für alle Bereiche benötigt man Daten, aus denen man lernen kann. Massenhaft Daten. Ziel ist es dabei mindestens, gerade ablaufende Geschehnisse in Echtzeit zu analysieren und den weiteren Geschehensablauf möglichst exakt zu antizipieren. Je präziser dabei die Algorithmen sind, je besser Texte, Sprache, Videos etc. klassifiziert werden können, desto leichter lassen sich Vorhersagen treffen. Deshalb hat die NSA zumindest seit Carnivore alles gespeichert. Sie nutzt die Daten zu Trainingszwecken.
Wenn die Verfahren funktionieren, dann hat das unbestreitbare Vorteile. Der jüngste Streit um die SCHUFA zeigt aber, dass Statistiken und sonstige mathematischen Verfahren fehleranfällig und natürlich auch manipulierbar sind. Die Folgen können für den Einzelnen fatal sein. Wenn aber die Echtzeitanalyse gigantischer strukturierter und unstrukturierter Daten schrankenlos zugelassen würde, käme bei Fehlern jede Hilfe zu spät. Das „Opfer“ einer fehlerhaften Analyse wäre in der Beweislast und hätte kaum Chancen – das zeigt ja der SCHUFA Fall – den Gegenbeweis zu erbringen. Und in Strafverfahren droht – Umstände wie im Minority Report sind gar nicht mehr so irreal – eine Vorwegnahme der Hauptsache. Auch insoweit kann – das wiederum zeigt der Fall Edathy – eine nicht mehr zu korrigierende Faktenlage geschaffen werden.
Wir müssen also auch weiterhin die Frage diskutieren, wer wann was bei welcher Gelegenheit über uns weiß. Und das darf sich nicht darauf beschränken als Abwehrrecht gegenüber dem Staat ausgestaltet zu sein, sondern muss als Grundbedürfnis zur Wahrung von Bürger- und Menschenrechten auch für und gegen private Unternehmen gelten. Betroffen sind dabei nicht nur personenbezogene, sondern schlicht alle Daten, egal woher sie stammen. Ein sinnvolles Ganzes ergibt sich aber erst dann, wenn auch die Frage nach der Nutzung klar und eindeutig geregelt ist.
Ich stimme Ihnen in fast allen Punkten zu:
1. Wir brauchen selbstverständlich Regeln, die die Datensammlung limitieren. Dies gilt für die Privatwirtschaft, aber vor allem auch für den Staat. Eine umfassende Bevorratung von Kommunikationsdaten ist beispielsweise der erste Schritt zum „gläsernen Bürger“. Wenn solche Sammlungen dann auch noch von Diensten verwaltet werden, die im Zweielichtig-Geheimen wirken, ist dies rechtsstaatlich unerträglich.
2. Big Data, das Internet der Dinge und unser aller Kommunikationsverhalten bringen es mit sich, dass „Datenspuren“ entstehen, die man nicht einfach wegwünschen kann, zumal es auch in vielen Bereichen gute Gründe gibt, die dagegen sprechen, diese Daten wie ein Gefahrgut zu behandeln, das mit einem ständig aktiven „Radiergummi“ bekämpft und vernichtet werden muss.
3. Wenn es sich aber so verhält, dass Daten-und Informationsbestände nun einmal existieren, muss verstärkt über die Nutzung diskutiert werden und über rechtliche und ethische Grenzen. Dies gilt insbesondere für die Auswertung durch Algorithmen.
4. Der Einsatz von Algorithmen darf einerseits nicht dämonisiert werden (vgl. http://www.zeit.de/wissen/2014-02/algorithmen-surren-blinken-leben-kolumne). Andererseits habe ich Sympathie für die Forderung nach ethischen Standards (vgl.http://www.faz.net/aktuell/feuilleton/debatten/plaedoyer-fuer-eine-algorithmen-ethik-relevanz-ist-alles-11934495.html). Ob das Recht für umfassende Transparenz sorgen kann und sollte, bezweifele ich. Denn schließlich geht es auch immer um schutzwürdige Geschäftsgeheimnisse, wie das Schufa-Urteil des BGH gezeigt hat (http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2014&Sort=3&anz=17&pos=1&nr=66910&linked=urt&Blank=1&file=dokument.pdf).