Datenstrategie: Experten fordern Strafbarkeit von Deanonymisierung
Die Bundesregierung will das Teilen von Daten erleichtern. Sachverständige drängen im Gegenzug auf klarere Standards für die Anonymisierung.
(Bild: whiteMocca/Shutterstock.com)
Die Ende Januar beschlossene Datenstrategie der Bundesregierung weist mit ihrem Ansatz für ein gemeinwohlorientiertes Teilen von Messwerten und Informationen prinzipiell in die richtige Richtung, waren sich Experten am Mittwoch bei einer Anhörung im Bundestag einig. Der Großteil der Sachverständigen sprach sich zugleich aber dafür aus, bei den vorgesehenen Maßnahmen nachzujustieren und sie teils konkreter zu fassen.
Straftatbestand schaffen
Positiv sei das mehrfache deutliche Bekenntnis zur informationellen Selbstbestimmung, erklärte der Bundesdatenschutzbeauftragte Ulrich Kelber. Dies könne das Vertrauen in die Datenökonomie steigern. Beim Katalog an aufgelisteten Initiativen komme der Datenschutz aber zu kurz. Insbesondere vermisst Kelber einen Bezug auf das Gutachten der Datenethik-Kommission, der er angehörte. Entscheidend sei es, in deren Sinne einen "Straftatbestand des Versuchs der Deanonymisierung von Daten" zu schaffen.
Die Bonner Informationsrechtlerin Louisa Specht-Riemenschneider unterstützte diesen Appell. Gerade für Forscher sei es entscheidend, Daten zu anonymisieren, um sie dann "in geschützten Räumen" auswerten zu können. Dafür sei es aber nötig, einen Erlaubnistatbestand zu kreieren, um zuvor noch nicht anonymisierte Messwerte erheben und speichern zu dürfen. Dazu müsse die Vermutung kommen, dass bei einer dann erfolgenden Anonymisierung nach dem Stand der Wissenschaft und der Technik ein "tatsächlicher Schutz" vorliege.
Standardisierte Verfahren fördern
Lina Ehrig vom Bundesverband der Verbraucherzentralen (vzbv) monierte ebenfalls, dass die Strategie "kein klares Verbot der Deanonymisierung" enthalte. Es gelte, für die Anonymisierung standardisierte Verfahren zu fördern. Erleichtert zeigte sie sich, dass die Regierung dem vagen Konzept eines Dateneigentums eine Absage erteilt und generell "keinen Gegenpol zum Datenschutz" aufgebaut habe. Viele der ausgegebenen Ziele würden aber nicht konsequent verfolgt. Es bleibe oft bei unverbindlichen Absichtserklärungen.
Das Miteinander von Grundrechtsschutz und Innovation sei löblich, die Exekutive und der Gesetzgeber müssten "vor allem für Standards bei der Anonymisierung etwas tun", unterstrich der Vorstand der Stiftung Datenschutz, Frederick Richter. Auch "Denkanstöße nach Brüssel in Sachen Interoperabilität" hätten dem Werk gutgetan.
Das in der Datenschutz-Grundverordnung (DSGVO) verankerte Recht auf Datenportabilität funktioniere in der Praxis bislang nicht, da es keine Kompatibilität der Systeme vorschreibe. Ein Nutzer könne so zwar seine Daten etwa bei Facebook raustragen, Twitter müsse diese dann aber nicht einspeisen. Hier wäre es besser, Dienste zusammenzuschalten, um beispielsweise von WhatsApp eine Nachricht zu Threema senden zu können.
"Hass auf Cookie-Banner"
Richter fehlt die Idee, freiwilliges Datenteilen als Teil der Verantwortung eines Unternehmens an der Gesellschaft im Sinne von digitaler Corporate Social Responsibility zu fassen. So fiele es leichter, fürs Allgemeinwohl eine Datenallmende aufzubauen. Auch bei PIMS (Personal Information Management Systems) zum Einstellen einer festen Nutzerpräferenz etwa für gewisses in Kauf genommenes Tracking sei die Regierung zu kurz gesprungen. So bleibe es beim "Hass auf Cookie-Banner" und einer damit einhergehenden "Einwilligungsmüdigkeit". Der Jurist räumte ein, dass die DSGVO derzeit aber ein informiertes Opt-in für jeden einzelnen Fall vorsehe.
Es seien bessere Verfahren nötig, um Daten zu "entsensibilisieren" und den Personenbezug effektiv aufzuheben, schloss sich Aline Blankertz von der Stiftung Neue Verantwortung dem Tenor ihrer Kollegen bei der Anonymisierung an. Sonst drohten Risiken etwa beim "federated learning" durch Algorithmen, da diese trotz weniger stringenter Vorsichtsmaßnahmen diskriminierende Voreinstellungen aufgreifen könnten.
Sektorspezifisch und zweckbezogen
Breiten Raum nahmen in der Diskussion die vorgesehenen Treuhänder ein, die laut der Exekutive das Datenteilen als "vertrauenswürdige Intermediäre" vor allem auch dem Mittelstand schmackhaft machen sollen. Specht-Riemenschneider sah darin ein Schlüsselelement für die Lösung einer ganzen Reihe von Problemen, um etwa Messwerte aus einem vernetzten Fahrzeug nach vorgegebenen Regeln besser nutzen zu können. Auch Kliniken wollten medizinische Daten stärker untereinander austauschen, berichtete die Rechtswissenschaftlerin. Es sei daher sinnvoll, Zugangsansprüche sektorspezifisch und zweckbezogen zu normieren und die Rechtssicherheit dafür zu erhöhen. Aufgabe der Wissenschaft sei es noch, die vielen Formen von Treuhändern zu systematisieren und Empfehlungen für konkrete Varianten und Instrumente auszusprechen.
Die Idee "selbstloser Datentreuhänder" als Stellvertreter der Nutzer liege auf der Hand, konstatierte Kelber. Dabei müssten aber potenzielle kommerzielle Eigeninteressen stärker in den Blick genommen und eine "zersplitterte Aufsichtslandschaft" verhindert werden. Bestimmte Intermediäre könnten rechtlich gesehen schon tätig werden, für andere Modelle brauche es noch Klarstellungen.
Open-Source fördern
Die mit der Strategie propagierte stärkere digitale Souveränität "braucht eine nachhaltige Förderung von Open-Source-Infrastruktur", unterstrich Henriette Litta von der Open Knowledge Foundation Deutschland. So könnten europäische Werte wie Datenschutz und Zugänglichkeit gut gesichert werden. Die Expertin mahnte mehr Investitionen in offene Protokolle und Softwarebibliotheken an. Dieser Aspekt fehle in dem Papier.
Ferner komme die Open Government Partnership nicht vor, die für einen transparenten Regierungsstil eintritt. Litta bemängelte zudem, dass die Regierung weder mit dem Papier noch mit ihrem Entwurf zur Reform des Open-Data-Gesetzes einen Rechtsanspruch auf offene Verwaltungsdaten plane. Als Vorreiter trete der Staat weiter nicht hinreichend auf, eine Selbstverpflichtung reiche nicht aus. Keine Überlegungen gebe es, Behörden vor Datenmissbrauch zu schützen. Für die Verwaltung brauche es Vorkehrungen, damit sie nicht "den Verführungen der Datenmacht" erliege.
Fast nichts auszusetzen an der Vorlage hatte der Münchner Digitalisierungsrechtler Dirk Heckmann. Er feierte die Strategie mit ihrem Leitbild der Datenkultur als Orientierungspunkt und Inspirationsquelle für Wirtschaft, Wissenschaft und Zivilgesellschaft. Die Nutzung von Informationen sei Grundvoraussetzung für öffentliche Aufgaben wie die Gesundheitsvorsorge, was sich mit der Corona-Pandemie erneut bewiesen habe. Kritisch sah er nur, dass die Regierung keine Initiative für eine einheitlichere Auslegung des Datenschutzrechts ergriffen habe. Bei Office 365 etwa seien viele irritiert, dass die Datenschutzbeauftragten "keine Microsoft-Cloud" wollten. Hier sollten sich die Aufsichtsbehörden schneller abstimmen und die Öffentlichkeit besser informieren.
(kbe)
