Wenn der Mensch so leicht durchschaubar ist: wirft Big Data damit auch unsere Vorstellungen von Individualität und freiem Willen über den Haufen?
Wir müssen uns jedenfalls fragen, welche Rolle der freie Wille in unserer Gesellschaft hat. Wie viel wollen wir davon bewahren? Welchen Freiraum für Unvorhergesehenes wollen wir schaffen? Es darf etwa nicht sein, dass die Entscheidung eines Krankenhauses, eine Organtransplantation vorzunehmen, allein auf Big-Data-Vorhersagen beruht.
Wenn es um Datenschutz geht, wird in Deutschland die Lösung darin gesehen, von vornherein möglichst wenige Daten zu sammeln. Und der Kunde soll zustimmen oder ablehnen, ob seine Daten verwendet werden dürfen. Ist das ein vernünftiger Ansatz?
Im Zeitalter von Big Data ist der Gedanke überholt, dass wir das Datensammeln als solches einschränken könnten. Das Recht auf informationelle Selbstbestimmung, wie es das Bundesverfassungsgericht entwickelt hat, lässt sich kaum mehr durchsetzen. Das ist totes Recht geworden. Formal haben Sie in Deutschland also einen starken Datenschutz. Aber praktisch ist er schwach.
Vielleicht sind die Regeln noch nicht streng genug.
Versuchen Sie doch mal, ihr Recht durchzusetzen! Ich habe das selbst vor ein paar Jahren erlebt, als ich ein Bankkonto eröffnen wollte. Als ich in der Datenschutzbestimmung 7a den letzten Satz gestrichen sehen wollte, hat mich die Bankmitarbeiterin angeschaut, als sei ich verrückt geworden. Sie hat mich nur gefragt: Wollen Sie jetzt ein Konto oder nicht? Genauso ist es doch bei den Datenschutzerklärungen von Amazon oder Facebook: Kein Mensch liest sich die wirklich durch, ändern kann er sie sowieso nicht. Alle klicken einfach „Okay“.
Wie ist dann ein effektiver Datenschutz in Zeiten von Big Data zu organisieren?
Anstatt auf die Zustimmung des Einzelnen bei der Datenerhebung zu setzen, müssen wir die Nutzer der Daten in die Verantwortung nehmen. Ich möchte, dass wir in Zukunft genau festlegen, welche Nutzungen erlaubt sind, welche nicht und welche nur unter bestimmten Voraussetzungen. Und das muss dort überprüft werden, wo die Daten genutzt werden. Der Datenverwender muss eine Risikoabschätzung machen. Er ist dann dafür verantwortlich, diese Abschätzung richtig vorgenommen und daraus die richtigen Konsequenzen gezogen zu haben.
Haben Sie ein Beispiel?
Verboten werden sollte etwa eine Datenauswertung, die Leben und Gesundheit eines Betroffenen beeinträchtigt.
Was ist denn, wenn Amazon aus meinen Suchabfragen und Einkäufen ableitet, dass ich Diabetes habe: Wäre das erlaubt?
Erlaubt wäre, ihnen aufgrund einer Datenanalyse passende Produkte zum Kauf zu empfehlen. Aber wenn durch die Untersuchung festgestellt werden soll, ob sie Diabetes haben um Ihnen die Versicherung zu kündigen, dann wäre das verboten.
Aber wie lässt sich das kontrollieren: Muss ein Aufseher ins Google-Hauptquartier und dem Unternehmen auf die Finger schauen?
Ja, und das ist gar nicht so ungewöhnlich wie es klingt. In vielen anderen Bereichen, in denen es um komplexe Technik geht, machen wir das schon. Denken Sie an die Fahrzeugsicherheit. Seit den 60er Jahren prüft nicht mehr der Konsument alleine, ob er ein sicheres oder unsicheres Auto fährt. Die Fahrzeuge müssen gewissen Richtlinien gerecht werden und das wird auch überprüft.
Sie fordern also einen Daten-TÜV?
Genau. Das kann eine staatliche oder eine unabhängige private Stelle sein. Entscheidend ist, dass wir eine länderübergreifende, wirksame Kontrolle organisieren. Im Moment lassen sich die großen US-Firmen gerne im EU-Land Irland nieder, wo die Datenschutzbehörde aus ein paar Leuten besteht. Damit gibt es ein Durchsetzungsproblem, weil diese Behörde völlig überfordert ist und weil der irische Staat in Zeiten knapper Budgets durch diese finanzstarken Unternehmen erpressbar geworden ist. Deshalb ist es so wichtig, dass eine EU-Datenschutzbehörde etabliert wird. Die wäre nicht so leicht erpressbar.