Kollektiver Datenschutz: Was dahinter steckt und warum er nötig ist

Es reicht nicht aus, wenn der Gesetzgeber nur die Privatsphäre des Einzelnen absichert. Big Tech ist viel weiter – und setzt auf kollektive Datenausbeutung.

Lesezeit: 15 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 26 Beiträge

(Bild: Franziska Barczyk)

Von
  • Martin Tisne
Inhaltsverzeichnis

Jeder Mensch, der sich mit der vernetzten Welt beschäftigt, erzeugt ständig Datenströme. Wir tun dies auf Arten, die uns bewusst sind, und auf Arten, die uns nicht bewusst sind. Und viele Unternehmen gieren danach, daraus einen Vorteil zu ziehen.

Zum Beispiel NumberEight, ein Start-up, das laut dem Magazin Wired "Apps dabei hilft, aus den Daten der Smartphone-Sensoren auf die Aktivität des Nutzers zu schließen: ob er läuft oder sitzt, sich in der Nähe eines Parks oder Museums aufhält, Auto fährt oder mit dem Zug unterwegs ist". Neue Dienste, die auf solcher Technik basieren, "werden das, was sie über die Aktivität eines Nutzers in ihren eigenen Apps wissen, mit Informationen darüber kombinieren, was er oder sie gerade physisch tut". Mit solchen Informationen "könnte ein Dienst – anstatt ein Profil zu erstellen, um, sagen wir, Frauen über 35 anzusprechen – Reklame an alle 'Frühaufsteher' richten".

Solche und ähnliche Ambitionen sind weitverbreitet. In einem kürzlich erschienenen Artikel im "Harvard Business Review" heißt es: "Den meisten CEOs ist klar geworden, dass künstliche Intelligenz das Potenzial hat, die Arbeitsweise von Unternehmen komplett zu verändern. Sie stellen sich mittlerweile eine Zukunft vor, in der zum Beispiel Einzelhändler individualisierte Produkte liefern, noch bevor der Kunde sie anfordert – vielleicht sogar am selben Tag, an dem das Produkt hergestellt wird." Ergo: In dem Maße, in dem Unternehmen KI in immer mehr Bereichen einsetzen, werden sich deren Fähigkeiten schnell erweitern und "Sie werden feststellen, dass die Zukunft, die sie sich immer vorgestellt hatten, tatsächlich näher ist, als es zunächst den Anschein hat".

Schon heute, geschweige denn in einer solchen Zukunft, kann Technik die Privatsphäre eines Nutzers komplett auslöschen. Wenn die Biden-Regierung und der US-Kongress nun über eine landesweite Datenschutzgesetzgebung nachdenken, deren Beispiel mit der DSGVO aus Europa kommt, dürfen sie daher nicht einem weitverbreiteten Irrtum erliegen. Denn: Bei Gesetzen zum Schutz der Privatsphäre von Menschen geht es nicht nur um den Schutz von Einzelpersonen. Es geht auch darum, unsere Rechte als Mitglieder von Personengruppen zu schützen – und als Teil der Gesellschaft als Ganzes.

Der Schaden, der einer einzelnen Person in einer Gruppe durch eine Verletzung ihrer Privatsphäre entsteht, mag relativ klein oder sogar nur schwer zu bestimmen sein, aber der Schaden für die Gruppe als Ganzes kann tief greifend werden. Angenommen, Amazon nutzt seine Daten über das Verbraucherverhalten, um herauszufinden, welche Produkte es wert sind, kopiert zu werden – und unterbietet dann die alten Hersteller von Produkten, wie etwa Schuhe oder Kamerataschen. Obwohl der unmittelbare Schaden bei dem Schuhproduzenten oder dem Kamerataschenhersteller liegt, liegt der längerfristige – und letztendlich dauerhaftere – Schaden doch bei den Verbrauchern, die auf lange Sicht jener Wahlfreiheit beraubt werden, die sich aus Transaktionen auf einem wirklich offenen und fairen Markt ergeben. Und während der Schuhhersteller oder Kamerataschenspezialist noch versuchen kann, rechtliche Schritte einzuleiten, ist es für die Verbraucher viel schwieriger, sich darüber klar zu werden, wie die Praktiken eines Konzerns wie Amazon ihnen schaden.

Mehr von MIT Technology Review Mehr von MIT Technology Review

Sammelklagen, bei denen sich viele Einzelpersonen zusammenschließen, obwohl jeder nur einen kleinen Schaden erlitten hat, sind hier eine gute begriffliche Analogie. Große Tech-Unternehmen verstehen die kommerziellen Vorteile, die sie aus der Analyse der Daten von Gruppen ziehen können, während sie die Daten von Einzelpersonen durch mathematische Techniken wie die sogenannte Differential Privacy oberflächlich zu schützen vorgeben. Aber die Regulierungsbehörden konzentrieren sich weiterhin auf den Schutz von Einzelpersonen oder bestenfalls auf geschützte Klassen – wie Menschen bestimmten Geschlechts, Alters, ethnischer Zugehörigkeit oder sexueller Orientierung.

Wenn ein Algorithmus Menschen diskriminiert, indem er sie in Gruppen einsortiert, die nicht in diese geschützten Klassen fallen, gelten die Antidiskriminierungsgesetze in den Vereinigten Staaten nicht. (Profiling-Techniken, wie sie Facebook verwendet, um seine Modelle des maschinellen Lernens beim Sortieren von Nutzern zu helfen, sind wahrscheinlich nach den Datenschutzgesetzen der Europäischen Union illegal, aber dies wurde noch nicht gerichtlich geklärt.) Viele Menschen werden nicht einmal wissen, dass von ihnen ein Profil erstellt wird und sie darüber diskriminiert wurden, was es schwierig macht, rechtliche Schritte einzuleiten. Sie spüren die Unfairness, die Ungerechtigkeit, nicht mehr aus erster Hand – und das war in der Vergangenheit eine Voraussetzung, um klagen zu können.

Doch der Einzelne sollte nicht für seine Datenschutzrechte kämpfen müssen und für jede Konsequenz seines digitalen Handelns verantwortlich sein, die er gar nicht absehen kann. Man nehme diese Analogie: Menschen haben ein Recht auf sicheres Trinkwasser, aber sie werden nicht dazu angehalten, dieses Recht auszuüben, indem sie jedes Mal, wenn sie einen Schluck aus dem Wasserhahn nehmen, die Qualität des Wassers mit einer Pipette überprüfen müssen. Stattdessen handeln Aufsichtsbehörden im Namen aller, um sicherzustellen, dass unser aller Wasser sicher ist. Genau das muss auch für die digitale Privatsphäre getan werden: Sie ist nichts, für dessen Schutz der Durchschnittsnutzer persönlich zuständig sein sollte.

Es gibt zwei parallele Ansätze, die verfolgt werden müssten, um die Öffentlichkeit vor Missbrauch durch Big Data zu schützen. Der eine ist die bessere Nutzung von Sammel- oder Gruppenklagen, auch bekannt als kollektiver Rechtsbehelf. Historisch gesehen waren diese in Europa bislang begrenzt, aber im November 2020 hat das Europäische Parlament eine Maßnahme verabschiedet, die von allen 27 EU-Mitgliedsstaaten verlangt, Regelungen zu implementieren, die kollektive Rechtsschutzklagen in der gesamten Region ermöglichen. Im Vergleich zu den USA verfügt die EU über stärkere Gesetze zum Schutz von Verbraucherdaten und zur Förderung des Wettbewerbs, sodass Sammel- oder Gruppenklagen in Europa ein mächtiges Instrument für Anwälte und Aktivisten sein könnten, um große Tech-Unternehmen zu zwingen, ihr Verhalten zu ändern. Und das selbst in Fällen, in denen der Schadenersatz pro Person sehr gering wäre.

Sammelklagen wurden in den USA bislang am häufigsten dafür eingesetzt, finanziellen Schadenersatz zu fordern, aber sie können auch verwendet werden, um Änderungen in Politik und geschäftlicher Praxis zu erzwingen. Sie können Hand in Hand mit Kampagnen arbeiten, um die öffentliche Meinung zu beeinflussen, insbesondere in Fällen, in denen es um Verbraucher geht. Beispiele aus der Vergangenheit sind Verfahren, mit denen Big Tobacco gezwungen wurde, den Zusammenhang zwischen Rauchen und Krebs einzuräumen, oder die Wegbereitung der allgemeinen Anschnallpflicht im US-Verkehr. Diese Klagen sind mächtige Werkzeuge, wenn es Tausende, wenn nicht Millionen von ähnlichen individuellen Schäden gibt, die sich aufaddieren, um den kausalen Zusammenhang zu beweisen.

Ein Teil des Problems besteht darin, die richtigen Informationen zu bekommen, um überhaupt klagen zu können. Staatliche Bemühungen, wie die Klage gegen Facebook, die im Dezember von der Federal Trade Commission (FTC) und einer Gruppe von 46 US-Bundesstaaten eingereicht wurde, sind dabei entscheidend. In den USA, so berichtete die New York Times kürzlich, stützen sich Privatklagen, einschließlich Sammelklagen, oft "auf Beweise, die durch die Ermittlungen der Regierung zutage gefördert werden". In der EU ist es jedoch umgekehrt: Privatklagen können die Möglichkeit von Regulierungsmaßnahmen eröffnen, die durch die Kluft zwischen EU-weiten Gesetzen und nationalen Regulierungsbehörden eingeschränkt sind.

Das bringt uns zum zweiten Ansatz: ein wenig bekanntes französisches Gesetz aus dem Jahr 2016. Das Gesetz zur digitalen Republik ist eines der wenigen modernen Gesetze, das sich auf automatisierte Entscheidungsfindung konzentriert. Die Regelung gilt derzeit nur für administrative Entscheidungen, die von algorithmischen Systemen des öffentlichen Sektors getroffen werden. Aber das Gesetz liefert eine Skizze dafür, wie ein zukünftiges Vorgehen aussehen könnte. Es besagt, dass der Quellcode hinter solchen Systemen der Öffentlichkeit zugänglich gemacht werden muss. Jeder kann diese Programmsourcen anfordern.

Wichtig ist, dass das Gesetz es Anwaltsorganisationen ermöglicht, Informationen über die Funktionsweise eines Algorithmus und den Quellcode dahinter anzufordern, auch wenn sie keine bestimmte Person oder einen Kläger vertreten, der angeblich geschädigt wurde. Die Notwendigkeit, einen "perfekten Kläger" zu finden, der einen Schaden nachweisen kann, um eine Klage einzureichen, macht es sehr schwierig, die systemischen Probleme anzugehen, die kollektive Schäden durch den Missbrauch der Privatsphäre verursachen.

Laure Lucchesi, die Direktorin von Etalab, einer französischen Regierungsbehörde, die für die Überwachung des Gesetzes zuständig ist, sagt, dass der Fokus des Gesetzes auf algorithmische Verantwortlichkeit seiner Zeit voraus war. Andere Gesetze, wie die europäische Datenschutz-Grundverordnung (DSGVO), konzentrierten sich zu sehr auf die individuelle Zustimmung und Privatsphäre. Aber sowohl die Daten als auch die Algorithmen müssen reguliert werden.

Apple verspricht in einer Werbung: "In diesem Moment befinden sich mehr private Informationen auf Ihrem Telefon als in Ihrem Haus. Ihr Standort, Ihre Nachrichten, Ihre Herzfrequenz nach dem Laufen. Das sind private Dinge. Und sie sollten nur Ihnen gehören." Der Konzern stellt zu sehr auf das Individuum ab: Indem das Unternehmen nicht erwähnt, dass das Telefon mehr als nur die eigenen persönlichen Daten speichert, verschleiert es die Tatsache, dass die wirklich wertvollen Daten aus den Interaktionen mit Dienstanbietern stammen. Die Vorstellung, dass ein Smartphone das digitale Äquivalent zum persönlichen Aktenschrank ist, ist eine bequeme Illusion. Unternehmen kümmern sich tatsächlich wenig um persönlichen Daten des einzelnen; deshalb können sie so tun, als ob sie die Daten einfach in eine Kiste sperren. Der Wert liegt in den Rückschlüssen, die aus den Interaktionen gezogen werden, die auch auf dem Gerät gespeichert sind – aber diese Daten gehören nicht dem Nutzer.

Die Übernahme des Fitnesstracking-Unternehmens Fitbit durch Google ist ein weiteres Beispiel. Google verspricht, "Fitbit-Daten nicht für Werbung zu verwenden". Aber die lukrativen Prognosedaten, die Google benötigt, sind nicht von individuellen Daten abhängig. Wie eine Gruppe europäischer Ökonomen in einem kürzlich veröffentlichten Paper des Centre for Economic Policy Research, einer Denkfabrik, argumentiert, reicht es für Google aus, die aggregierten Gesundheitsdaten mit einer Teilmenge der Fitbit-Nutzer zu korrelieren, die sich nicht gegen die Verwendung ihrer Daten entschieden haben, um dann passende Zielgruppenprognosen zu treffen, für die dann personalisierte Werbung ausgeliefert werden kann. Der Google-Fitbit-Deal war also im Wesentlichen ein Konzerndaten-Deal. Er positioniert Google in einem Schlüsselmarkt für Gesundheitsdaten und ermöglicht es dem Unternehmen, Datensätze zusammenzuführen, die nicht personalisiert sein müssen – und Geld mit den sich daraus ergebenden Rückschlüssen zu verdienen, die von Gesundheits- und Versicherungsanbietern verwendet werden können.

In den Vereinigten Staaten gibt es Gesetzesentwürfe, die all diese Lücken schließen wollen. Im Jahr 2019 haben die Senatoren Cory Booker und Ron Wyden einen "Algorithmic Accountability Act" eingebracht, der dann im US-Kongress ins Stocken geriet. Das Gesetz hätte Unternehmen verpflichtet, in bestimmten Situationen algorithmische Folgeabschätzungen vorzunehmen, um sie auf Voreingenommenheit oder Diskriminierung zu prüfen. Aber in den USA wird dieses wichtige Thema wahrscheinlich zuerst in Gesetzen aufgegriffen, die sich auf bestimmte Sektoren wie das Gesundheitswesen beziehen, wo die Gefahr durch die ungleichen Auswirkungen der Pandemie auf die US-Bevölkerungsgruppen noch größer wurde.

Ende Januar wurde der Public Health Emergency Privacy Act von den Senatoren Mark Warner und Richard Blumenthal erneut in den Senat und das Repräsentantenhaus eingebracht. Dieses Gesetz würde sicherstellen, dass Daten, die für Zwecke der öffentlichen Gesundheit gesammelt wurden, nicht für andere Zwecke verwendet werden dürfen. Es würde die Verwendung von Gesundheitsdaten für diskriminierende, in einem anderen Zusammenhang stehende oder gar "aufdringliche" Zwecke verbieten, einschließlich kommerzieller Werbung, E-Commerce oder Versuchen, den Zugang zu Beschäftigung, Finanzen, Versicherungen, Wohnraum oder Bildung einzuschränken. Dies wäre ein guter Anfang. Darüber hinaus sollte sich ein Gesetz, das für alle algorithmischen Entscheidungen gilt, nach französischem Vorbild auf eine harte Rechenschaftspflicht, eine starke behördliche Aufsicht über datengetriebene Entscheidungssysteme und die Möglichkeit zur Prüfung und Nachverfolgung algorithmischer Entscheidungen und ihrer Auswirkungen auf die Gesellschaft konzentrieren.

Um eine harte Rechenschaftspflicht zu gewährleisten, sind drei Elemente erforderlich: 1. klare Transparenz darüber, wo und wann automatisierte Entscheidungen stattfinden und wie sie sich auf Menschen und Gruppen auswirken, 2. das Recht der Öffentlichkeit, einen sinnvollen Beitrag zu leisten und die Verantwortlichen aufzufordern, ihre Entscheidungen zu rechtfertigen, und 3. die Möglichkeit, Sanktionen durchzusetzen. Entscheidend ist, dass die politischen Entscheidungsträger entscheiden müssen, was einen "Hochrisiko"-Algorithmus ausmacht, für den ein höherer Prüfungsstandard gelten sollte, wie es kürzlich in der EU vorgeschlagen wurde.

Der Schwerpunkt sollte auf der öffentlichen Kontrolle der automatisierten Entscheidungsfindung und einer Transparenz liegen, die zur Rechenschaftspflicht führt. Dazu gehört die Offenlegung der Existenz von Algorithmen, ihres Zwecks und der zugrundeliegenden Trainingsdaten sowie ihrer Auswirkungen – etwa, ob sie zu ungleichen Ergebnissen geführt haben, und wenn ja, für welche Gruppen.

Die Öffentlichkeit hat ein grundsätzliches Recht darauf, von der Politik eine Begründung für ihre Entscheidungen zu verlangen. Dieses "Recht, Antworten zu erhalten", sollte sich nicht auf eine konsultative Beteiligung beschränken, bei der die Menschen um ihren Beitrag gebeten werden und die Beamten dann machen, was sie wollen. Es sollte auch eine Beteiligung beinhalten, bei der die Öffentlichkeit vor der Einführung von risikoreichen Algorithmen im öffentlichen und privaten Sektor einbezogen wird. Schließlich ist die Möglichkeit, Sanktionen zu verhängen, der Schlüssel zum Erfolg dieser Reformen und zum Erreichen von Verantwortung. Es sollte verpflichtend sein, Audit-Anforderungen für das Targeting, die Verifizierung und die Kuratierung von Daten festzulegen, die Kontrolleure mit Basiswissen ausstattet und Aufsichtsorgane ermächtigt, Sanktionen durchzusetzen, nicht nur um Schaden im Nachhinein zu beheben, sondern um ihn grundsätzlich zu verhindern.

Das Problem betrifft jeden. Ein Gesetz über den Schutz privater Gesundheitsdaten ist ein erster Schritt. Der US-Kongress sollte dann die Lehren aus der Umsetzung dieses Gesetzes nutzen, um Regelungen zu entwickeln, die sich speziell auf kollektive Datenschutzrechte konzentrieren. Nur durch solche Maßnahmen lassen sich Situationen vermeiden, in denen datengetriebene Unternehmensentscheidungen die Fähigkeit der Menschen beeinträchtigen, auf Jahre hinaus Zugang zu Wohnraum, Arbeitsplätzen, Krediten und anderen Lebenschancen zu erhalten, die uns allen zustehen sollten.

Martin Tisne ist Managing Director von Luminate, einer gemeinnützingen Organisation, die Teil der Omidyar Group ist. (bsc)