Die Datenschutzgrundverordnung hat wenig daran geändert, dass unsere Daten bei supranationalen Konzernen liegen, wo wir nicht über sie verfügen können. Mit Datensouveränität soll das – sowohl für Bürgerinnen und Bürger als auch für kleine und mittelgroße Unternehmen – anders werden.
Von Alexandra Rotter
Seit 2018 gilt die Datenschutzgrundverordnung (DSGVO), aber was hat sie gebracht? Haben wir jetzt die Macht über unsere Daten? Wissen wir, wer wann was mit ihnen anstellt und wer sie wozu an wen verkauft? Skandale wie Cambridge Analytica, wo Daten von Facebook-Nutzenden ohne ihr Wissen im großen Stil ausgewertet wurden, zeigten, dass wir mitnichten Souveräne über unsere Daten sind. Wollen wir ein Angebot nutzen, müssen wir jeder Daten-Policy zustimmen, ob wir es wollen oder nicht. Die Folge ist resigniertes Schulterzucken der Bürgerinnen und Bürger, weil sie daran nichts ändern können, aber auch nicht auf Whatsapp, Google und Co verzichten wollen.
Michael Mayrhofer, Professor für Öffentliches Recht an der Johannes Kepler Universität Linz (JKU), glaubt, es brauche teils innovativere Instrumente als die individuelle Einwilligung: „Wir müssen zu kollektiven Schutzmechanismen und verständlichen Kategorien kommen, aus denen sich auf den ersten Blick ergibt, was Unternehmen und andere mit Daten machen dürfen und was nicht.“ Eine Möglichkeit zur Stärkung der Effektivität des Datenschutzes sei ein Ampelsystem, das Nutzer schneller beurteilen lässt, was mit den eigenen Daten passiert: Eine grüne Ampel könnte bedeuten, dass ein Unternehmen personenbezogene Daten nur zur Rechnungserstellung verwenden darf, während eine rote Ampel darauf hinweisen könnte, dass es damit mehr oder weniger alles machen darf. Aus Mayrhofers Sicht spricht auch nichts dagegen, seine Daten für Marketing zur Verfügung zu stellen, wenn man das möchte, aber es muss für die Betroffenen leicht nachvollziehbar sein“.
”
„Die Informationsmacht der Digitalkraken muss gebrochen werden und die Daten müssen wieder zurück nach Europa kommen.“
Viktor Mayer-Schönberger
Daten fürs Gemeinwohl
Datensouveränität hat für Mayrhofer nichts mit der kategorischen Ablehnung von Datennutzung zu tun – davon sollten wir eher wegkommen, um Datenanalysen gesamtgesellschaftlich besser zu nutzen. So sei es etwa gut, Gesundheitsdaten der Forschung zur Verfügung zu stellen, und wir sollten es nicht Google und Co. überlassen, auf Basis dieser Daten zum Beispiel neue Formen der Pharmaforschung aufzubauen. Mayrhofer: „Der Wert von Daten ist für die Gesellschaft so groß, dass die EU und die Staaten mit ihren Regelungen danach trachten müssen, dass die Daten für das Gemeinwohl verwendbar bleiben.“ Aber wie kommt die Gesellschaft an die Daten heran, die Amazon, Google und Co. sammeln? Mayrhofer: „Ich hege viel Sympathie dafür, Daten-Monopolen mit unterschiedlichen Instrumenten entgegenzutreten.“
Bei Datensouveränität gehe es darum, dass Betroffene möglichst gut über die Verwendung ihrer Daten Bescheid wissen und selbst entscheiden können, wer diese nutzen darf – mit Einschränkung des staatlichen Anspruchs auf gewisse Daten. Nur wer wisse, was mit seinen Daten geschieht, könne auch von seinen Rechten im Datenschutz Gebrauch machen und etwa eine Beschwerde bei der Datenschutzbehörde einbringen. Mayrhofer schlägt vor, dass der Staat mit gutem Beispiel vorangeht und seinen Bürgerinnen und Bürgern ein „Datencockpit“ anbietet, wo sie jederzeit verfolgen können, wo ihre Daten sind und wer wann und mit welcher Begründung auf sie zugegriffen hat. Dort könnten sie auch entscheiden, für welche weitergehenden Zwecke sie ihre Daten zur Verfügung stellen bzw. welcher Datenverknüpfung sie beispielsweise für schnellere Verwaltungsverfahren zustimmen. Grundsätzlich gelte: Je sensibler die Daten, umso höher müsse das Schutzniveau – etwa durch Pseudonymisierung oder noch besser Anonymisierung – sein.
Datenkolonialismus abschaffen
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation der Universität Oxford, versteht unter Datensouveränität etwas anderes: Nicht dem Individuum sollte die Verfügungsgewalt über seine Daten überlassen werden, sondern dem Volk: „Wenn wir vom Souverän innerhalb einer Demokratie sprechen, meinen wir das Volk. Datensouveränität heißt daher, dass wir als Nation über unsere Daten bestimmen können.“ Dem österreichischen Volk würden seine Daten kollektiv weggenommen werden. Mayer-Schönberger spricht von Datenkolonialismus – wie in einer Kolonie habe ein Volk keine Souveränität über die eigenen Rohstoffe und Ressourcen mehr: „Unsere Daten liegen bei Google und Facebook und wir haben keine Kontrolle mehr über sie.“ Gelebte Datensouveränität bedeute: „Die Informationsmacht der Digitalkraken muss gebrochen werden und die Daten müssen wieder zurück nach Europa kommen.“ Doch dafür könne nicht jeder für sich sorgen: „Das Volk ist auch zuständig für die Zulassung von Impfstoffen – ich gehe nicht selber hin und prüfe den Wirkstoff, das wäre zu kompliziert für mich. Gleichzeitig wird erwartet, dass jeder 200 Seiten Datenschutz-Bestimmungen liest und versteht.“
Nicht mehr nur US-Konzerne sollten Nutzen aus Daten schöpfen, sondern auch österreichische Klein- und Mittelbetriebe (KMU), die derzeit benachteiligt sind, weil ihnen der Zugang zu den Konzerndaten fehlt: „Wenn KMU keine Daten haben, können sie ihre Ideen nicht umsetzen und haben keine Chance am Markt.“ Mayer-Schönberger nennt als Beispiel die Anbieter von Rechtschreibprüfungs-Programmen, die es nicht mehr gibt. Der Grund: Solche Programme werden mit der Menge an Trainingsdaten immer besser – und die meisten Trainingsdaten habe Google: „Deswegen ist die Rechtschreibprüfung von Google viel besser als die von Microsoft oder anderen Anbietern.“ Ähnliches gelte für autonomes Fahren oder andere Wirtschaftsbereiche. Mayer-Schönberger zufolge braucht es daher Gesetze, die Unternehmen, die viele Daten haben, verpflichten, diese mit KMU zu teilen. Wenn ein Start-up bei Google einen Datensatz anfordert und keine Antwort bekommt, sollten Geldstrafen folgen: „Dann zahlt Google eben einmal 100 Millionen.“ Aus der DSGVO hätten wir gelernt, dass mit hohen Strafen die Bereitschaft, das Recht zu akzeptieren, dramatisch zunehme.
Entpersonalisierung von Daten
Doch ist das nicht ein trojanisches Pferd? Wir sollten Datensouveränität erlangen, aber am Ende haben noch mehr Firmen unsere Daten? Mayer-Schönberger erklärt, dass es immer nur um entpersonalisierte Daten oder um Sachdaten wie Sensordaten gehe. Doch auch anonymisierte Daten könnten re-anonymisiert werden. Peter Parycek, Leiter des Departments für E-Governance in Wirtschaft und Verwaltung an der Donau-Universität Krems, sagt: „Die Re-Anonymisierung bzw. der Versuch des Missbrauchs von Daten könnten unter Strafe gestellt werden.“ Auf einer Treppe mit zehn Stufen, wo oben die Datensouveränität der Bürger wartet, schätzt Parycek, dass wir in der Wirtschaft höchstens auf Stufe eins stehen. Im öffentlichen Sektor ist es besser: Hier stünden wir in Österreich und Deutschland in der Mitte. Dies sei vor allem auf die elektronischen Register der Verwaltung und der PSI-Richtlinie der EU (Public Sector Information) zurückzuführen.
Jetzt werde darüber nachgedacht, auch in der Wirtschaft einen Stimulus zu setzen, denn: „Durch die Teilung der Daten kann es eine Wert- und eine Qualitätssteigerung geben.“ Parycek befürwortet Regulierung nicht über alle Branchen hinweg, sondern von einzelnen Datenräumen. Er nennt als Vorbild einer solchen vertikalen Regulierung den finnischen Mobilitätsraum: Während die PSI-Richtlinie nur den öffentlichen Sektor regelt, regulierte Finnland auch private Anbieter. Alle Mobilitätsanbieter inklusive Taxis, Fahrrad- und Uber-Dienste müssen eine gemeinsame Ticketschnittstelle anbieten. Die finnische Bevölkerung braucht nur noch ein Ticket, und die Anbieter, die ihre Daten anonymisiert teilen, können laut Parycek ihr Angebot optimieren. Ebenso könnten andere Branchen zur Datenteilung verpflichtet werden. Dazu brauche es kein eigenes Gesetz: „Wir könnten Regelungen in bestehende Spezialgesetze wie zum Beispiel das Bankengesetz integrieren.“ Nur mit supranationalen Unternehmen wie Facebook und Co. wären Parycek zufolge Spezialvereinbarungen nötig. Dass das nicht einfach wird, ist klar. Parycek: „Ich gehe davon aus, dass das die nächsten 10 bis 15 Jahre harte Arbeit wird, um herauszufinden, in welchen Bereichen wir Daten nutzen wollen.“ Letztlich gehe es immer um die Abwägung von wirtschaftlichen, individuellen und gesellschaftlichen Interessen.
MICHAEL MAYRHOFER
Univ.-Prof. Dr. Michael Mayrhofer ist Vorstand des Instituts für Verwaltungsrecht und Verwaltungslehre und Dekan der Rechtswissenschaftlichen Fakultät an der JKU. Er leitet das Linz Institute of Technology (LIT) Law Lab und ist Mitglied der Bioethikkommission des Bundeskanzleramts.
PETER PARYCEK
Univ.-Prof. Mag. Dr. Peter Parycek leitet das Department für E-Governance in Wirtschaft und Verwaltung sowie das Zentrum für E-Governance. Er fungiert als CDO an der Donau-Universität Krems und ab August 2021 als Vizerektor für Lehre/Wissenschaftliche Weiterbildung und digitale Transformation. Seit 2018 gehört er dem Digitalrat der Deutschen Bundesregierung an.
VIKTOR MAYER-SCHÖNBERGER
Prof. Viktor Mayer-Schönberger ist Professor für Internet Governance and Regulation an der Universität Oxford. Er forscht über Information und Big Data. Sein aktuelles Buch heißt „Machtmaschinen. Warum Datenmonopole unsere Zukunft gefährden und wie wir sie brechen“.
LINKS
Weitere Artikel dieser Ausgabe
Tags