Prism, Big Data und der Datenschutz – bei uns und in den USA
von Thilo Weichert, Leiter des ULD
„Big Data“ war bis vor kurzem vor allem ein modischer Begriff, mit dem die informationstechnische Wirtschaft weltweit bei Behörden und Unternehmen für eine neue Technik warb. Seit dem 6. Juni 2013 steht der Begriff auch dafür, dass Staaten Menschen weltweit unter Überwachung stellen und dadurch Freiheitsrechte und insbesondere das Grundrecht auf informationelle Selbstbestimmung bzw. auf Privatheit verletzen. Die Veröffentlichungen des Whistleblowers Edward Snowden über das Überwachungsprogramme des US-Nachrichtendienstes National Security Agency (NSA) „Prism“ und des britischen Government Communications Headquarters (GCHQ) „Tempora“ werfen ein zugleich faszinierendes wie ein Furcht einflößendes Licht auf die Möglichkeiten von Big Data. Thema dieses Beitrags soll sein, was aus Sicht des Datenschutzes bei Big Data beachtet werden muss und welche Strategie hierbei verfolgt werden sollte bzw. muss.
1. Prism
Edward Snowden deckte auf, dass die NSA unter dem Namen „Prism“ seit 2007 ein nicht-öffentliches Programm der Speicherung und Auswertung insbesondere von Daten der Telekommunikation und aus dem Internet betreibt, um hiermit Sicherheitszwecke zu verfolgen, insbesondere die Bekämpfung des internationalen Terrorismus. Hierzu greife die NSA direkt auf Server von großen IT-Dienstleistern, u. a. von Google, Facebook, Microsoft, Yahoo, Skype, Apple, AOL, sowie von Telekommunikationsunternehmen, u. a. Verizon, zu. Rechtsgrundlagen seien der Foreign Intelligence Surveillance Act sowie der Patriot Act – zwei US-Gesetze, die eine sehr weitgehende Erfassung und Auswertung von Daten – insbesondere auch aus dem Ausland – erlauben. Derzeit werde in Bluffdale im US-Bundesstaat Utah ein riesiges Rechenzentrum gebaut, über das der Datenverkehr weltweit überwacht werden soll. Erfasst würden jetzt schon Verbindungsdaten wie Inhaltsdaten, also E-Mails, Chats, Videos, gespeicherte und übermittelte Dateien, Videokonferenzen, Standort- und Profildaten und vieles mehr. In einer 2008 entwickelten Accumulo-Datenbank würden inzwischen bereits Dutzende Petabytes Daten (ein Petabyte sind 1 Mio. Gigabyte) gespeichert und ausgewertet. Allein im März 2013 habe die NSA 97 Mrd. Dateneinheiten aus aller Welt gesammelt, davon allein 14 Mrd. aus dem Iran und 13,5 Mrd. aus Pakistan, viel aber auch aus Europa und Deutschland.
Die US-Regierung erläuterte, bei Prism handele es sich um ein internes Computersystem der Sicherheitsbehörden zur Auslandsaufklärung und werde durch Gerichtsentscheidungen legitimiert. Voraussetzung für die Erfassung sei nicht ein konkreter Verdacht, sondern die Annahme der Datenrelevanz. Es gehe darum, nichtoffensichtliche Zusammenhänge aufzudecken und aus einem mehr oder weniger strukturiererten Datenbestand mit Hilfe von Data-Mining-Werkzeugen automatisiert sicherheitsrelevante Erkenntnisse zu gewinnen (Tagespresse seit dem 06.06.2013; NSA collecting phone records of millions of Verizon customers daily, http://www.guardian.co.uk/world/2013/jun/06/nsa-phone-records-verizon-court-order Sokolow, http://heise.de/-1884735 ).
Nach den Veröffentlichungen gab es viele Dementis und Relativierungen sowohl von Diensteanbietern wie von der US-Regierung. Dieser Prozess wiederholte sich, nachdem „Tempora“ bekannt geworden war (Tagespresse seit 21.06.2013, Askill/Borger/Hopkins/Davies/Ball,http://www.guardian.co.uk/uk/2013/jun/21/gchq-mastering-the-internet ). Was tatsächlich passiert, wird sich – wenn überhaupt – erst allmählich erweisen. Es scheint, dass Prism und Tempora zu den global umfangreichsten Big-Data-Anwendungen gehören. Am Beispiel von Prism sollen die dabei entstehenden Probleme dargestellt werden.
2. Big Data
Bei Big Data handelt es sich nicht um ein in rechtlicher Hinsicht klar umrissenen Sachverhalt. Es ist eine Sammelbezeichnung für umfangreiche Datenbestände, die zumeist im Rahmen einer Zweitverwertung zusammengeführt, verfügbar gemacht und ausgewertet werden. Der Begriff steht für die auf der Grundlage gewaltiger Speicher- und Auswertungskapazitäten mögliche Datenanalyse zur Gewinnung neuer Erkenntnisse.
Big Data ermöglicht neue Erkenntnisse über gesellschaftliche, ökonomische oder politische Sachverhalte, eine nutzerorientiert aufbereitete Darstellung von aus großen Datenbeständen generierten Sachverhalten, sparsameres Produzieren und Wirtschaften, bessere Planungen und bessere Abläufe in Organisationen, sinnvolleren Ressourceneinsatz und höhere Transparenz. Werden mit Big Data personenbezogene Sachverhalte erfasst und ausgewertet, so sind damit Risiken für die betroffenen Personen verbunden. Datengrundlage kann alles sein, was bei durch den Menschen und dessen digitale Umgebung an Daten hinterlassen wird: Die Nutzung von Telekommunikation und Internet hinterlässt Angaben zu Dienst, Ort, Zeit und Kommunikationsbeziehungen, also wer wann mit wem über was mit welchen Inhalten telefoniert, gemailt, gechattet oder gesprochen hat. Profile aus sozialen Netzwerken, Nutzerkonten von Onlinehändlern und umfangreiche Blogeinträge können ausgewertet werden. Art, Höhe und Anlass von finanziellen Transaktionen erlauben Rückschlüsse über Einkommen, Vermögen, Interessen, Aktivitäten. Das Freizeit- und Spielverhalten ist ebenso Gegenstand digitaler Erfassung wie die berufliche Tätigkeit und das soziale, religiöse, politische und familiäre Engagement. Durch immer „intelligentere“ Endgeräte werden biometrische Daten über Gesicht, Sprache und Verhalten erfasst. Weitgehend personifiziert, über Online-Bestellungen, Kundenkarten oder Abrechnungswege lässt sich das Konsumverhalten analysieren. Per Videoüberwachung, möglicherweise gekoppelt mit Mustererkennung, oder durch RFID-Chip-Erfassung können Sachverhalte aus dem analogen Leben ins Digitale übersetzt werden. Durch die Auswertung von spezifischen Datenbanken über Kunden, Steuerbürger, Straftatverdächtige, Patienten, Arbeitnehmer, Interessenten … wie auch von Beständen und Kommunikationsvorgängen im Internet lassen sich sensible Angaben über politische und weltanschauliche oder religiöse Anschauungen, über gesundheitliche Verhältnisse oder sexuelle Ausrichtung ableiten. Selbst Gefühle, Einstellungen und Stimmungen lassen sich an Hand von äußeren Merkmalen analysieren.
Daraus erstellt werden können kontextübergreifend zeitliche Abläufe und digital erfasste Profile über Aufenthaltsorte, Sozialkontakte, Konsum, Verhalten, Interessen, Gesundheit … Neudeutsche Stichworte sind hierfür Scoring, Tracking, Profiling, Personalizing. Verhaltensweisen können prognostiziert und bei Bedarf manipuliert werden. Möglich sind Diskriminierungsaktionen, indem ganz bestimmten Merkmalsträgern der Zugang zu, der Vertragsabschluss in Bezug auf oder die Nutzung von bestimmten Diensten verwehrt wird (Weichert, Big Data und Datenschutz, ZD 2013, 251 ff.,http://www.datenschutzzentrum.de/bigdata/20130318-bigdata-und-datenschutz.html ).
Denkbar ist so nicht nur die Kontrolle von einzelnen Individuen, sondern auch die umfassende Überwachung von Menschengruppen oder gar ganzer Gesellschaften. Die Kontrolle wird durch diejenigen ausgeübt, die die Hoheit über die Daten haben. Die Betroffenen haben allenfalls als Datenlieferanten Einfluss, manchmal nicht einmal das, wenn die Erfassung heimlich oder unbewusst erfolgt.
3. Datenschutz und Privatheit
Das Bundesverfassungsgericht hat erstmals in der Volkszählungsentscheidung im Jahr 1983 eine eigenständiges Grundrecht auf Datenschutz, ein „Recht auf informationelle Selbstbestimmung“ abgeleitet. Dieses begründet die Befugnis, grundsätzlich selbst bestimmen zu können, wer was wann bei welcher Gelegenheit über einen weiß, also wem welche Daten für welchen Zweck preisgegeben werden. Die Verfügung durch die betroffenen Personen erfolgt im Rahmen des Zivilrechtsverkehrs bzw. durch informierte Einwilligungen. Es gilt das Zweckbindungsprinzip, wonach personenbezogene Daten grds. nur für die Zwecke verwendet werden dürfen, für die diese ursprünglich erhoben wurden. Einschränkungen des Grundrechts, insbesondere durch staatliche Stellen, sind nur im überwiegenden Allgemeininteresse zulässig und bedürfen einer gesetzlichen Grundlage, das dem rechtsstaatlichen Gebot der Normenklarheit und dem Prinzip der Verhältnismäßigkeit entsprechen muss. Grundlegend ist das Erforderlichkeitsprinzip, also dass nur die für den jeweiligen Zweck nötigen Daten erhoben und verarbeitet werden dürfen. Im Sinne der Datensparsamkeit sollen Informationssysteme so gestaltet werden, dass hierbei so wenig Daten wie möglich erhoben und verarbeitet werden. Außerdem fordert die Verfassungsrechtsprechung technisch-organisatorische und verfahrensrechtliche Vorkehrungen zur Sicherstellung des Rechts auf informationelle Selbstbestimmung. Zentral für die Verwirklichung der Selbstbestimmung sind die Betroffenenrechte, also die Rechte auf Auskunft zu den eigenen Daten sowie – bei Bedarf – auf Berichtigung, Sperrung und Löschung. Zur Umsetzung der Regelungen über die informationelle Selbstbestimmung bedarf es unabhängiger Kontrollinstanzen (BVerfGE 65, 1 ff. = NJW 1984, 419 ff.).
Diese Verfassungsrechtsprechung hat inzwischen insbesondere nicht nur in Europa Eingang in viele ausdrückliche Verfassungsregelungen gefunden. Seit 2009 ist das Grundrecht auf Datenschutz in Art. 8 der Europäischen Grundrechtecharta europaweit festgeschrieben. Diese Verfassungsvorgaben werden inzwischen in allgemeinen wie in speziellen Gesetzen konkretisiert.
Das Legitimationsmuster für den Datenschutz ist einfach und plausibel: Es geht um Freiheitssicherung: „Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Informationen dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist“ (BVerfGE 65, 43 = NJW 1984, 422).
Derartige verfassungsrechtliche und gesetzliche Gewährleistungen gibt es nicht in autoritären undemokratischen Staaten. Leider ist festzustellen, dass auch in den USA, dem Land, wo die meisten global agierenden Internet- und Informationstechnik-Unternehmen ihren Stammsitz haben, kein adäquates Datenschutzniveau gewährleistet ist. Der US-Supreme Court sieht lediglich „angemessene Erwartungen an Privatheit“ (reasonable expectations of privacy) als von der US-Verfassung geschützt an. Anders als das deutsche Bundesverfassungsgericht und inzwischen der Europäische Gerichtshof sowie der Europäische Menschenrechtsgerichtshof sieht der US-Supreme Court bei informationellen Eingriffen regelmäßig erst die Grenze des Zulässigen überschritten, wenn ein materieller Schaden oder eine tatsächliche Beeinträchtigung nachweisbar ist. Das Zweckbindungsprinzip ist dem allgemeinen US-Recht fremd. In der „Third Party Doctrine“ wird vielmehr eine freiwillige Weitergabe von Daten an Dritte als eine völlig Freigabe dieser Daten bewertet. Eine Grundrechtsbindung von privaten Unternehmen wird – anders als in Europa – von der US-Rechtsprechung nicht anerkannt (Weichert, Privatheit und Datenschutz im Konflikt zwischen den USA und Europa, RDV 2012, 115).
Allgemeine gesetzliche Regelungen zum Verbraucherdatenschutz im Internet gibt es in den USA nicht. Die Sicherheitsgesetzgebung in den USA überlässt den Behörden, also Staatsanwaltschaften, Polizei und Geheimdiensten, bei informationellen Eingriffen weitgehend freie Hand und sieht nur bei massiven informationellen Eingriffen regelmäßige ungenügende technische, organisatorische oder prozedurale Sicherungen vor (Weichert, Privatheit und Datenschutz im Konflikt zwischen den USA und Europa, RDV 2012, 116 f.).
Es ist daher wenig verwunderlich, dass die Frage des Datenschutzes bei Big-Data-Anwendungen in den Gesellschaften und Kulturen unserer Welt unterschiedlich bewertet wird. Einschränkungen des Einsatzes von Informationstechnik durch Datenschutzanforderungen stoßen insbesondere in den USA auf Ablehnung, da dies zu einer Einschränkung der globalen Entfaltung der US-Unternehmen sowie zu einer Einschränkung der globalen US-Dominanz im Sicherheitsbereich führen würde. Bürgerrechtlichen Argumenten, die auch von Verbraucher- und Bürgerrechtsorganisationen in den USA vorgetragen werden, haben sich die US-Administration wie auch die US-Unternehmen bisher wortreich, aber wenig überzeugend entzogen.
Dem deutschen Bundesverfassungsgericht folgend, muss die Frage des Umgangs mit personenbezogenen Daten als Schicksalsfrage zur Bewahrung der Freiheitlichkeit und der Demokratie in modernen Informationsgesellschaften angesehen werden. Dies gilt für die Verarbeitung bei den großen US-Unternehmen selbst, deren Daten mit Hilfe von Prism beschafft werden, und die diese Daten insbesondere für Werbezwecke einer kommerziellen Zweitnutzung zuführen – von Amazon und Apple über Google und Microsoft bis hin zu Verizon und Yahoo. Dies gilt in noch stärkerem Maße für die umfangreichen und komplexen Datensammlungen, wie sie über Prism als Drittnutzung den US-Sicherheitsbehörden überlassen werden.
4. Datenschutzkriterien
Im Folgenden sollen Datenschutzgrundsätze mit Big-Data-Praktiken abgeglichen und am Beispiel Prism überprüft werden:
- Einwilligung
Grundlegitimation für die Verarbeitung personenbezogener Daten ist die informierte, explizite, freiwillige Einwilligung der oder des Betroffenen. Um in dieser Form informationelle Selbstbestimmung wahrnehmen zu können, müssen die Betroffenen über die verantwortlichen Stellen, die verarbeiteten Daten und die damit verfolgten Zwecke informiert werden. Tatsächlich müssen dann Wahlmöglichkeiten und Freiwilligkeit zugestanden werden, was nicht der Fall ist, wenn eine grundlegende Diensteerbringung mit der Zustimmung zur weiteren Datenanalyse gekoppelt wird, so wie dies bei praktisch allen US-Anbietern der Fall ist. Wirksame Einwilligungen sind bei Big-Data-Anwendungen nicht ausgeschlossen. Zu beachten ist aber, dass die Einholung von rechtlich wirksamen Einwilligungen für eine unüberschaubare Zahl von Stellen mit nicht eindeutig bestimmten Daten für noch nicht bestimmbare Zwecke nicht möglich ist. Die von Prism betroffenen Menschen haben für diese Datennutzung ihre Einwilligung nicht erteilt und könnten sie auch rechtlich wirksam nicht erteilen.
- Rechtmäßigkeit
Nötig wäre in diesem Fall eine hinreichend bestimmte gesetzliche verhältnismäßige Grundlage, bei der technisch-organisatorische und prozedurale Vorkehrungen den Missbrauch der Daten verhindern. Derartige Abwägungsregelungen gibt es im deutschen wie im europäischen Datenschutzrecht. Hierbei wird aber regelmäßig gefordert, dass bei der Verarbeitung für die verfolgten Zwecke die schutzwürdigen Interessen der Betroffenen nicht überwiegen. Je offener eine Big-Data-Anwendung konzipiert ist, desto wahrscheinlicher ist diese Verletzung von Betroffenenbelangen. Die US-Gesetze, die Prism erlauben sollen, insbesondere der Patriot Act und der Foreign Intelligence Surveillance Act (FISA), sind an Unbestimmtheit kaum zu überbieten und sehen keine wirksamen Schutzmaßnahmen für die Betroffenen vor, ebenso wenig wie sonstige effektive rechtsstaatliche Sicherungen: Die Kontrolle durch bzw. der Genehmigungsvorbehalt für ein Geheimgericht, wie es bei der Umsetzung des FISA vorgesehen ist, ist keine Sicherung, sondern allenfalls Kosmetik.
- Zweckbindung
Das Prinzip der Zweckbindung schließt es tendenziell aus, Daten für einen anderen als den ursprünglichen Zweck zu verwenden, so wie dies bei Big Data oft der Fall ist. Doch ist bei solchen Anwendungen eine Zweckbegrenzung grundsätzlich möglich. Je offener ein Zweck festgelegt wird, desto mehr Auswertungsmöglichkeiten werden eröffnet und desto risikobehafteter ist zugleich die Verarbeitung für die Betroffenen. Bei Veröffentlichungen im Internet kann regelmäßig überhaupt keine umfassend wirksame Zweckeingrenzung mehr vorgenommen werden, weshalb insofern bei personenbezogenen Daten besondere Zurückhaltung geboten ist. Zweckänderungen bedürfen nach europäischem Recht einer ausdrücklichen gesetzlichen Regelung. Die mit Prism verfolgten Zwecke haben mit denen der ursprünglichen Erfassung nichts zu tun. „Sicherheit“ als Zweck ist zu unbestimmt. Es bedürfte in jedem Fall einer Differenzierung zwischen den generellen Zielsetzungen Gefahrenabwehr, Strafverfolgung und Vorfeldbeobachtung. Bei hoher Datensensibilität sind engere Zwecke rechtlich geboten. Auch der Zweck „Terrorismusbekämpfung“ ist zu unbestimmt, insbesondere angesichts der absolut weiten Interpretation, die dieser Begriff in den USA findet.
Zweckänderungen müssen verhältnismäßig sein. Das verfolgte Ziel muss den Grundrechtseingriff rechtfertigen. Ob Prism in seiner praktizierten Form geeignet, erforderlich und angemessen ist, um Terrorismus speziell und Sicherheitsrisiken allgemein zu begrenzen, wurde bisher nicht belegt und dürfte nicht belegt werden können. Prism provoziert eher Sicherheitsrisiken, als dass damit diese bekämpft werden können. - Erforderlichkeit
Mit dem Zweckbindungsgrundsatz eng verknüpft ist das Prinzip der Erforderlichkeit: Nur die für einen konkreten Zweck erforderlichen Daten dürfen verarbeitet werden. Big-Data-Anwendungen verfolgen im Prinzip das entgegengesetzte Ziel – möglichst viele auch nur potenziell relevante Daten vorzuhalten, um sie im Rahmen von Analysen berücksichtigen zu können. US-Unternehmen betrachten sich an einen rechtlichen Erforderlichkeitsgrundsatz nicht gebunden. Auch das darüber hinausgehende Prinzip der Datensparsamkeit, wonach die Technikgestaltung auf möglichst geringe Personendatenverarbeitung auszurichten ist, wird bewusst ignoriert, da die Geschäftsmodelle der meisten Unternehmen darauf beruhen, möglichst viele dieser Daten kommerziell zu nutzen (Weichert, Datenschutzverstoß als Geschäftsmodell – der Fall Facebook, DuD 2012, 716 ff., https://www.datenschutzzentrum.de/facebook/20120921-facebook-geschaeftsmodell.pdf ). Hiervon profitieren letztlich bei Prism auch die US-Sicherheitsbehörden, denen – unter Missachtung europäischer Datenschutzstandards – eine große Menge an Daten zur Verfügung steht.
- Betroffenenrechte
Zentraler Bestandteil des Schutzes informationeller Selbstbestimmung ist die Kenntnis der Betroffenen von verantwortlicher Stelle, Zweck und Datenumfang. Die Kenntnis ist Voraussetzung dafür, die weiteren Betroffenenrechte des Widerspruchs, der Berichtigung, der Sperrung, der Löschung oder der Weiternutzung, etwa zwecks Portabilität, wahrzunehmen. Datenschutzauskünfte sind letztlich die Voraussetzung, um Rechtsschutz gegen Datenverarbeitungsmaßnahmen einfordern zu können. Solange Daten ausschließlich beim Dienstleister verbleiben, ist zumindest deren Verbreitung eingegrenzt. Bei US-Dienstleistern erfolgt regelmäßig ein Vorbehalt, die Daten bei Bedarf an App-Entwickler oder andere kooperierende Unternehmen weiterzugeben. Auskunfts- bzw. generell Transparenzansprüche werden nicht hinreichend, geschweige denn – wie in Europa rechtlich gefordert – umfassend gewährt. Diese aus Datenschutzsicht schon inakzeptable Praxis wird bei Prism potenziert durch die intransparenten Weiternutzungen durch die US-Sicherheitsbehörden, die jegliche Kontrolle und jeglichen Rechtsschutz für die Betroffenen unmöglich machen.
- Datenschutzkontrolle
Kontrolle soll nicht nur für den Betroffenen möglich sein, sondern gemäß der Rechtsprechung des Bundesverfassungsgerichtes wegen der technischen und faktischen Komplexität der Datenverarbeitung auch für eine unabhängige externe Instanz (BVerfGE 65, 46 = NJW 1984, 422 f.; BVerfG NJW 2013, 1516 f.). Derartige Datenschutzinstanzen gibt es in den USA bisher nicht. Europäische Forderungen nach einer entsprechenden Kontrolle – etwa bei der Nutzung von Banktransaktions- oder Flugdaten – wurden bisher erfolgreich zurückgewiesen. Zwar unterliegen in den USA Verbraucherdaten bei privaten Dienstleistern einer gewissen Kontrolle durch die Federal Trade Commission (FTC). Hinsichtlich der Kontrolldichte und -tiefe bestehen aber große Defizite. Überhaupt keine wirksame externe Kontrolle durch unabhängige und zugleich transparente Instanzen besteht hinsichtlich der Weiternutzung der Daten durch die US-Sicherheitsbehörden.
- Technisch-organisatorische Schutzziele
Bei der personenbezogenen Datenverarbeitung sind – wie generell beim Einsatz von IuK-Technik – technisch-organisatorische Vorkehrungen zu treffen. Dies gilt insbesondere im Hinblick auf große und komplexe Verfahren wie Big-Data-Anwendungen. Folgende Schutzziele sind dabei zu verfolgen: Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit (Weichert ZD 2013, 256 f.). Die Nichtverkettbarkeit verfolgt das Ziel, den Datenschutzgrundsatz der Zweckbindung technisch zu verwirklichen. Big Data verfolgt das diametral entgegengesetzte Ziel der Verkettung zwecks Analyse. Prism zielt für Sicherheitszwecke auf eine möglichst umfassende Datenverkettung ab. Hinsichtlich der sonstigen Datenschutz-Schutzziele wurden durch die NSA oder von politisch Verantwortlichen bisher keine Angaben gemacht. Der Umstand, dass der Whistleblower Edward Snowden unbeobachtet umfangreiche Dokumente abziehen und veröffentlichen konnte, ist ein Indiz dafür, dass von der NSA die nötigen technisch-organisatorischen Sicherungsmaßnahmen grob vernachlässigt worden sind.
5. Lösungsansätze
Angesichts der oben dargestellten Fragestellungen erweist sich die Umsetzung von Datenschutzkriterien bei Big-Data-Anwendungen als eine große Herausforderung: Wie können die zweifellos bestehenden Erkenntnismöglichkeiten bei der Auswertung großer Datenbestände erreicht werden, ohne die Persönlichkeitsrechte und die Privatsphäre der betroffenen Menschen übermäßig zu beeinträchtigen?
- Anonymisierung und Aggregierung
Der Weg zur Optimierung der Ziele Datenschutz und Erkenntnis durch Datenauswertung führt über die Beseitigung bzw. Beschränkung des Personenbeziehbarkeit der Daten. Angesichts des Umstandes, dass bei den meisten Big-Data-Analysen nicht personenbezogene Erkenntnisse angestrebt werden, besteht kein absoluter Widerspruch zwischen den verfolgten Zielen. Problematisch bleibt, dass die Erlangung von Erkenntnissen regelmäßig davon abhängt, dass die Zuordenbarkeit der Datensätze zu Gruppen und Zeitabläufen erhalten bleibt. Dieses Problem lässt sich mit Pseudonymisierungsmaßnahmen angehen. Die Gefahr einer Reidentifizierung bleibt bestehen. Durch technische, organisatorische und rechtliche Vorkehrungen lässt sich diese Gefahr reduzieren, aber nicht völlig beseitigen.
Eine weitergehende Einschränkung des Reidentifizierungsrisikos lässt sich durch Datenagggregierung erreichen, also die Zusammenfassung von individuellen Datensätzen zu Gruppendatensätzen, aus denen eine Rückgewinnung individueller Erkenntnisse nicht mehr möglich ist. Je mehr Merkmale aber in einen Datensatz einfließen, desto größer ist das Risiko, mit entsprechendem Zusatzwissen wieder auf eine Einzelperson zurückzuschließen. Es ist also anwendungsspezifisch von Bedeutung, Gruppengrößen zu wählen, bei denen dieses Risiko minimiert wird.
Eine völlig andere Konstellation besteht, wenn Big-Data-Analysen darauf ausgerichtet sind, personenbezogene Erkenntnisse zu erlangen. Dies ist generell bei sicherheitsbehördlichen Nutzungen und speziell bei Prism der Fall: Es geht darum, Gefahrenpersonen bzw. Straftäter zu identifizieren, um diese an Rechtsverstößen zu hindern oder einer Strafe zuzuführen. Aber selbst hier kann eine Pseudonymisierung im Rahmen der Analyseverfahren als Schutzvorkehrung genutzt werden: Die Reidentifizierung wird erst dann vorgenommen, wenn sich ein diese rechtfertigender hinreichender Verdacht bzw. eine Gefahrenwahrscheinlichkeit ergeben hat. Es ist nicht bekannt, dass derartige Mechanismen bei Prism zum Einsatz kommen.
- Verarbeitungsmanagement
Selbst wenn mit den Mitteln der Anonymisierung und Aggregierung gearbeitet wird, ist es aus Gründen des Persönlichkeitsschutzes nötig, die Datenverarbeitung so zu organisieren und technisch zu gestalten, dass unerwünschte Auswertungen vermieden werden. Hierbei kommt Metadaten eine wichtige Funktion zu, über die festgelegt werden kann, welche Zwecke durch welche definierten Verarbeitungsrollen in welchen Kombinationen verfolgt werden dürfen. Ist wegen des Erkenntnisinteresses eine technische Segregierung nicht möglich, so muss durch das Festlegen von Verfahren und kontroll- und sanktionsbewehrte Nutzungsregeln eine Kompensation des reduzierten Schutzes erfolgen. Bei Prism ist hierüber – wie zu fast allen Fragen – nichts bekannt.
- Transparenz
Angesichts der Quantität und Qualität der eingesetzten Daten, des oft nicht vermeidbaren Personenbezugs und der Mächtigkeit der Auswertungswerkzeuge ist bei Big-Data-Anwendungen ein hohes Datenschutzrisiko oft verfahrensintern nicht auszuschließen. Wegen der damit verbundenen individuellen wie auch gesellschaftlichen Konsequenzen müssen in diesen Fällen öffentliche demokratische Sicherungen vorgesehen und umgesetzt werden. Diese setzen eine größtmögliche Transparenz sowohl für die rechtsstaatlich-demokratischen Kontrollinstanzen als auch für die Öffentlichkeit voraus, die sämtliche Schritte erfassen muss: die Erhebung der Daten, deren Zusammenführung, die Analyse wie auch die Nutzung der Ergebnisse. Die individuelle wird über Transparenz durch eine gesellschaftliche Dimension informationeller Selbstbestimmung ergänzt. Durch eine öffentliche Evaluation lässt sich möglicherweise verhindern, dass manipulations- und diskriminierungsträchtige Datenauswertungen tatsächlich entsprechend genutzt werden. Bei Prism fehlt die nötige Transparenz.
- Forschungsbedarf
Datenschutzverträgliche Big-Data-Technologien sind bisher kaum erforscht und entwickelt. Soll Big Data in einer freiheitlich-demokratischen Informationsgesellschaft eine Zukunft erhalten, so sind derartige Technologien unabdingbar. Die praktizierte Förderung solcher Technologien durch finanzielle oder wettbewerbliche Anreize lässt noch viele Wünsche offen. Dies ist eine Zukunftsaufgabe insbesondere für die Europäische Union und Deutschland, wo Persönlichkeitsschutz einen angemessenen hohen Stellenwert hat.
- Transatlantischer Dialog
Datenschutz hat in den USA offiziell bisher keinen hinreichenden Stellenwert. Für diese Erkenntnis bedurfte es Prism nicht (Arzt, Polizeiliche Überwachungsmaßnahmen in den USA, 2004; Weichert RDV 2012, 113 ff.). Wohl aber hat das Spionageprogramm der NSA zu einer Sensibilisierung der Öffentlichkeit und der Politik geführt. Diese Sensibilisierung sollte dazu genutzt werden, einen Datenschutzdialog zwischen Europa und den USA zu erzwingen. Dies liegt nicht nur im Interesse Europas, sondern auch im wohlverstandenen Interesse der USA, dessen demokratische und freiheitliche Werte durch die Usurpation eines schon heute einflussreichen und bestimmten informationstechnischen Komplexes in Gefahr sind. Das Vorgehen, kurzfristige wettbewerbliche und sicherheitspolitische Vorteile durch ein weitgehendes Ignorieren des Datenschutzes zu verfolgen, kann sich angesichts der globalen Konkurrenz zu Staaten ohne eine solche lebendige Werteordnung – etwa zu China, Russland oder Indien – schon mittelfristig rächen.
Die Erzwingung dieses Dialogs kann an den Informationstechnischen transatlantischen Beziehungen anknüpfen: Die angestrebte Freihandelszone zwischen den USA und Europa ist angesichts der Relevanz von Informationstechnik nur mit einem weitgehenden Wertekonsens in Bezug auf Datenschutz und Privatheit möglich. Für die bestehenden Verträge – im privatwirtschaftlichen Bereich insbesondere das Safe-Harbor-Abkommen und im sicherheitspolitischen Bereich die viele Kooperationsvereinbarungen über den Austausch von Daten zu Finanztransaktionen, über Flugpassagiere, über Erkenntnisse von Strafverfolgungsorgane und Geheimdienste – ist mit der Aufdeckung des Prism-Programms die Geschäftsgrundlage entfallen. Diese Geschäftsgrundlage bestand in der Annahme bzw. Hoffnung, dass die US-Administration zumindest die selbst gesetzten Standards von „reasonable expectations of privacy“ beachten. Diese Erwartungen werden offensichtlich enttäuscht. Insofern ist aus europäischer Sicht eine Doppelstrategie nötig: Die bestehenden Kooperationsverträge sollten gekündigt und neu verhandelt werden. Parallel dazu muss von Europa schonungslos Transparenz über die Big-Data-Auswertungen der US-Behörden und -Unternehmen eingefordert werden. Als Hebel zur Durchsetzung dieser Ziele ist es möglich und nötig, die auf dem europäischen Markt agierenden US-Unternehmen im Informationssektor zur Respektierung der europäischen Rechtsordnung zu veranlassen. Selbstverständlich müssen parallel dazu die Aktivitäten in Deutschland und in Europa hinterfragt und bei Bedarf geändert werden. Dieser Bedarf besteht unzweifelhaft bei „Tempora“ des britischen GCHQ. Big Data kann nur dann gesellschaftlichen Nutzen entwickeln, wenn bei dessen Anwendung unsere freiheitlichen und demokratischen Werte sowie die bestehende Rechtsordnung respektiert werden.
Der oben stehende Text ist die Grundlage für eine Printveröffentlichung in einem Sammelband des Suhrkamp-Verlages zum Thema „Big Data“