Die Balance zwischen Datenschutz und Innovation (Teil 1)

Bevor wir zum eigentlichen Thema kommen, möchte ich etwas Kontext geben. Im Laufe der Geschichte haben Menschen verschiedene Ressourcen hoch geschätzt. In der Agrarrevolution war Land extrem wichtig. Im Industriezeitalter waren es Maschinen, Kohle und später Öl. Jetzt, im 21. Jahrhundert, sagen Wissenschaftler, Journalisten und Branchenführer, dass Daten das neue Öl sind. Zu den wertvollsten Unternehmen der Welt nach Marktkapitalisierung gehören viele Tech-Unternehmen, und sie alle verfügen über eine enorme Menge an Daten über globale Verbraucher. Die bekannten Namen sind:

• Im Osten: Alibaba, Tencent, Baidu, Flipkart
• Im Westen: Google, Microsoft, Amazon, Facebook, IBM, Apple

Eine weitere Perspektive aus dem Bericht des World Economic Forum data policy in the Fourth Industrial Revolution: „Am Weltwirtschaftsforum bevorzugen wir den Vergleich von Daten mit Sauerstoff, der das Feuer der Vierten Industriellen Revolution entfacht. Daten sind allgegenwärtig und notwendig – wenn sie jedoch unsachgemäß verwendet werden, können sie gefährliche und unerwünschte Folgen haben."

Da „Daten" so wichtig sind, versuche ich, mich in diesem Thema weiterzubilden, und dieser Beitrag ist der erste einer Serie über Datenschutz. Da ich kein Experte auf diesem Gebiet bin, werde ich zusammenfassen, was ich gelernt habe, und Links zu den Quellen bereitstellen.

Für heute sprechen wir über 3 Hauptfragen:

• Was sind personenbezogene Daten?
• Wem gehören sie? – eine differenzierte Antwort
• Welche Rechte hast du?

Was sind personenbezogene Daten?

Die umfassendste Definition, die ich bisher gefunden habe, stammt von der Europäischen Union in ihrer DSGVO:

„‚personenbezogene Daten' [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person') beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;" Außerdem werden hier Beispiele für personenbezogene Daten genannt:

• E-Mail-Adresse (deinname@unternehmen.com)
• eine Internet-Protokoll-Adresse (IP-Adresse)
• eine Cookie-ID (häufig im Webbrowser zu finden)
• die Werbekennung deines Telefons

Weitere Beispiele:

• Deine private Kommunikation: der Inhalt deiner E-Mails/privaten Nachrichten
• Deine Finanzdaten (Kontostand, Transaktionen, Steuererklärung)
• Bildungsnachweise (welche Schule du besuchst, deine Schulnoten)
• Medizinische Unterlagen
• Biometrische Daten (Fingerabdruck, Gesicht) etc.

Auch wenn ich hier nur einige Beispiele nenne, ist wichtig zu wissen, dass es weltweit mehr als 100 bestehende Datenschutzgesetze in verschiedenen Ländern und Gebieten gibt.

Personal Data Protection Commission Singapore: „Personenbezogene Daten sind Daten, ob wahr oder nicht, über eine Person, die anhand dieser Daten oder anhand dieser Daten zusammen mit anderen Informationen, auf die die Organisation Zugang hat oder wahrscheinlich haben wird, identifiziert werden kann. Personenbezogene Daten in Singapur werden durch den Personal Data Protection Act 2012 (PDPA) geschützt."

Wem gehören sie?

Die naheliegendste Antwort für viele Menschen lautet: Es sind meine Daten, also gehören sie mir. Im echten Leben ist das Bild jedoch differenzierter.

Staatliche & behördliche Aufzeichnungen

In vielen Ländern pflegen Regierungen umfangreiche Daten über ihre Bürger – wie Geburtsurkunden, Personalausweise (die der Staat seinen Bürgern zunächst ausstellt), biometrische Daten etc. Die indische Regierung hat im vergangenen Jahr eines der größten biometrischen Identifikationsprogramme mit rund einer Milliarde Menschen eingeführt.

Interessant: Beim Davos-Forum in diesem Jahr erwähnte ein Vertreter der indischen Regierung im Gespräch über „Setting the rules for the AI race", dass die Daten öffentlichen Einrichtungen bzw. dem Staat gehören und dass die Regierung öffentlichen und privaten Stellen Zugang zu personenbezogenen Daten gewähren kann.

Wenn du reist (oder ein Visum beantragst), fordern viele Länder biometrische Daten. Nachdem du deine Daten eingereicht und einige Dokumente unterschrieben hast, teilst du deine biometrischen Daten wahrscheinlich mit diesen ausländischen Regierungen.

Beobachtete und abgeleitete/prädiktive Daten

Der WEF-Bericht data policy in the Fourth Industrial Revolution schlägt vor, dass wir den Kontext in der Diskussion berücksichtigen müssen. Die Frage der Eigentumsrechte bei beobachteten und abgeleiteten Daten ist nicht eindeutig zu beantworten.

„Beobachtete Daten: Internet-Browsing-Präferenzen, Überwachungsvideos, Anrufdetailaufzeichnungen etc.

Abgeleitete Daten: Kreditwürdigkeitsbewertungen, Verbraucherprofile, Prognosen zu Verkehrsflüssen, Muster bei der Ausbreitung von Infektionskrankheiten, gezielte Werbung etc.

Im Laufe unseres Alltags nutzen wir verschiedene Dienste und hinterlassen bei unterschiedlichen Unternehmen viele „beobachtete Daten". Gehören diese Daten dann diesen Unternehmen? Das kann von Krankenhäusern über Airlines bis zu Restaurants oder Ride-Sharing-Diensten reichen. Im Werbebereich sprechen Unternehmen oft von „First-Party-Daten", was darauf hindeutet, dass sie diese nutzen dürfen. Aber dürfen sie das wirklich? Wenn man die EU-DSGVO-Definition von personenbezogenen Daten verwendet, dann gehören die Daten der betroffenen Person, solange die Daten zur Identifizierung einer Person verwendet werden können. Wenn die Daten anonymisiert oder pseudonymisiert wurden, ist die Situation anders.

Eines ist festzuhalten: Wir hinterlassen schon seit Langem enorme Mengen unserer Verhaltens- und Wirtschaftsdaten. Was sich im letzten Jahrzehnt verändert hat, sind die Fortschritte im Bereich Big Data und Machine Learning. Es ist heute vergleichsweise einfacher und günstiger für Unternehmen, riesige Datenmengen zu speichern, zu verarbeiten und daraus Vorhersagen zu treffen. Jede Empfehlungsmaschine (wie Amazon) funktioniert im Grunde genau so.

Welche Rechte hast du?

Hier schätze ich besonders die klare Formulierung der Europäischen Union. Ich diskutiere hier nicht, ob sie richtig oder falsch liegen – zumindest nicht in diesem ersten Beitrag. Die Europäische DSGVO legt folgende Rechte für Verbraucher fest:

• Jede Person ist Eigentümer ihrer eigenen personenbezogenen Daten
• Transparenz mit Einwilligung: Unternehmen müssen ausdrücklich um Erlaubnis bitten, personenbezogene Daten auf transparente und verständliche Weise zu speichern und zu verarbeiten
• Sicherheit: Personenbezogene Daten sollten durch angemessene Sicherheitsmaßnahmen geschützt werden
• Widerrufsrecht: Jederzeit kann die Einwilligung zur Verarbeitung oder Nutzung der Daten widerrufen werden
• Recht auf Information und Zugang zu personenbezogenen Daten
• Recht auf Berichtigung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• etc.

Natürlich enthält die DSGVO auch viele detaillierte Ausnahmen und Freistellungen.

Der California Consumer Privacy, der Personal Data Protection Act in Singapur und andere Datenschutzgesetze sprechen zwar nicht so umfassend, aber über ähnliche Rechte.

Das war es für diesen Beitrag.

Als nächstes werde ich mir in weiteren Beiträgen einige dieser schwierigeren Themen ansehen:

• Ist die EU-DSGVO zu vorschreibend?
• Sollten wir angesichts unterschiedlicher Rechtssysteme und Wirtschaftsmodelle weltweit ein globales Datenschutzgesetz haben? Wenn nicht, was sollte unser globaler Ansatz sein, angesichts der vernetzten und interdependenten Natur unserer Welt?
• Wie gehen wir von hier aus weiter?
• Die Balance zwischen Datenschutz und Innovation, beginnend mit Gesundheit und Bildung?
• Wie vermeiden wir Datenmonopolisierung auf lokaler, nationaler und globaler Ebene?

Viele Grüße,

Chandler