Macht der Standards: Datenschützer als Gatekeeper

Unter dem Dach des Normungsgremiums IEEE diskutieren Fachleute die Idee, Datenschützer zu Gatekeepern für neue technische Standards zu machen. Ein Blick auf Bemühungen der EU-Kommission in dieser Richtung zeigt die Probleme eines solchen Ansatzes.

Die Soziologin Sarah Spiekermann von der Wirtschaftsuniversität Wien warnt davor, Entscheidungen über Standards großen Firmen zu überlassen, die entweder durch schiere Marktmacht Fakten schaffen oder aber Heerscharen eigenen Personals in die Standardisierungsgremien schicken. "Wir brauchen einen Gatekeeper", fordert Spiekermann. Bislang seien es die Gerichte, die diese Rolle einnähmen, aber deren Mühlen mahlen langsam und entscheiden erst nach Jahren. Paul Nemitz von der Generaldirektion Recht der EU-Kommission bringt den EU-Datenschutzausschuss ins Spiel (Nachfolger der Gruppe "Artikel 29"). Der könnte neue Standards auf ihre Verträglichkeit mit der Datenschutzgrundverordnung prüfen und gegebenenfalls mit der Aufforderung zum Nachbessern an die Standardisierer zurückgeben.

Multi-Stakeholder im Verborgenen

Die Idee, Datenschützer bei der Standardisierung ins Boot zu holen, ist nicht neu. In den Verhandlungen zur Datenschutzgrundverordnung gab es bereits einen entsprechenden Änderungsvorschlag, erklärt Rigo Wenning vom World Wide Web Consortium (W3C). Die Idee, dass der Datenschutzausschuss Spezifikationen wie die Zustimmung per DoNotTrack-Header für rechtlich bindend erklärt, sei jedoch in den Grabenkriegen zwischen Werbelobbyisten und Parlament untergegangen.

Wenning ist auch Mitglied eines Kreises, mit dem die EU-Kommission seit 2012 versucht, die Brücke zwischen Standardisierungsgremien und dem offiziellen Europa zu schlagen und gemeinsame Empfehlungen zu erarbeiten: Die Multi-Stakeholder-Plattform on ICT Standardisation tagt mindestens zweimal jährlich und hält Ausschau nach Spezifikationen, die gezielt für öffentliche Beschaffungsprozesse referenziert werden sollen. Die Zusammenarbeit sei überaus fruchtbar für die Stakeholder, versicherte Wenning.

Welche Normen im Laufe der Jahre auf den Radar gekommen sind, lässt sich in ausführlichen Jahresberichten der Kommission nachlesen. Hingegen ist die Arbeit der Plattform für die Öffentlichkeit schwer nachzuvollziehen. Seit 2017 hat sie Tagesordnungen und Ergebnisprotokolle der Sitzungen nicht veröffentlicht. Diese Dokumente sind nach einer Umstrukturierung der Generaldirektionen umgezogen (von hier nach da) und so nur für Eingeweihte gut zu finden. Bis zum 15. März sollen sich Mitgliedsstaaten und Standardisierungsorganisationen um die Teilnahme fürs nächste Triennium bewerben.

Aufsicht oder Einmischung?

Konsultative Prozesse allein genügen jedoch nicht, kritisiert Spiekermann, Ko-Autorin einer ersten Ethikspezifikation beim IEEE.

Kai Rannenberg, Experte für Mobile Security an der Universität Frankfurt und Alessandro Guarino, aktiv in den europäischen Standardisierungsgremien CEN/CENELEC, weisen die Gatekeeper-Idee dagegen zurück. "Das hat schon bei den Krypto-Restriktionen nicht geklappt", sagt Rannenberg. Überdies richteten sich internationale Gremien natürlich nicht nach den EU-Datenschützern – und die EU-Standardisierer würden dann ins Hintertreffen geraten.

Guarino fragt rethorisch: Bedarf es eigener europäischer Standards? Er rät stattdessen Datenschützern dazu, sich direkt in wichtige Standardisierungsprozesse einzubringen. Viele Standardisierungsgremien sind seit den Enthüllungen von Edward Snowden sensibilisiert für Datenschutzfragen. Bislang überlassen die Datenschützer das Feld allerdings ihren Kollegen von der Strafverfolgung. Guarino berichtete von einem Fall, in dem eine CEN-Arbeitsgruppe ein Mandat der Generaldirektion Inneres zurückgewiesen hatte, "weil das die Idee von Privacy by Design schon ruiniert hätte, bevor wir überhaupt angefangen haben zu standardisieren". (dz)