Navigation auf uzh.ch
Die Privatsphäre ist für viele Menschen wichtig. Dennoch teilen sie im Internet private Fotos, die Handynummer und ihre aktuelle Stimmungs-lage. Und dies nicht nur mit Freunden auf Facebook, sondern auch mit dem Unternehmen selbst. Sie stellen Google Fragen, die sie Freunden oder dem Partner nicht zu stellen wagten. Und sie tragen freiwillig Geräte mit sich herum, mit denen man jeden ihrer Schritte nachverfolgen kann.
Die Wissenschaft nennt dieses Phänomen das Privacy Paradox. Datenschützer pflegen es mit dem Hinweis zu erklären, dass vielen Nutzern nicht bewusst ist, wo ihre Daten überall abgesaugt werden. Sie sprechen von Gruppendruck und vom generell widersprüchlichen Naturell des Menschen. Sein Denken und Handeln, so die Erklärung, sei halt oft inkonsistent.
Für Florent Thouvenin greift der Verweis auf die Irrationalität des Menschen zu kurz. «Da steckt mehr dahinter», sagt der Professor für Informations- und Kommunikationsrecht an der UZH. Viel plausibler scheint ihm, dass die Betroffenen eine andere Vorstellung von Privatsphäre und damit auch andere Schutzbedürfnisse haben als jene, auf denen der heutige Datenschutz basiert.
Das heutige Datenschutzrecht geht auf Konzepte aus den 1970er-Jahren zurück, diese sind also ein Vierteljahrhundert älter als das Internet. Während sich Gesellschaft und Technik seither tiefgreifend verändert haben, ist die Regulierung, so die Analyse des UZH-Professors, weitgehend unverändert geblieben. Die Entstehung der Datenschutzgesetze stand zudem immer wieder unter dem Einfluss politischer Ereignisse. So zeigte in der Schweiz der «Fichenskandal», dass der Staat seit Anfang des Jahrhunderts mit grossem Eifer die eigenen Bürger bespitzelte. Ähnliches gilt für die neue Datenschutzgrundverordnung der EU, die per Ende Mai dieses Jahres erstmals einen harmonisierten Rechtsrahmen für den Datenschutz in der EU schaffen soll. Die «Snowden-Affäre» hat diese Regelung stark geprägt. Und in Deutschland, das in Europa eine Führungsrolle im Datenschutz einnimmt, hallt das Trauma des Zweiten Weltkriegs nach und damit die Angst vor einem totalitären Staat.
Die mit ihren Daten heute so freigiebigen Nutzerinnen und Nutzer von Onlinemedien setzen ganz offensichtlich neue Akzente. Sind sie zu jung oder zu naiv, um die Bedrohung zu erfassen? Florent Thouvenin geht nicht von Blauäugigkeit aus, sondern von einer anderen, differenzierten Perspektive. Privatsphäre sei ein vielschichtiges und hochkomplexes Konzept. Ihr Schutz sei diesen Menschen vielleicht dann wichtig, wenn es um Personen geht, die sie tatsächlich kennen: die Nachbarin, den Exmann, Arbeitskollegen oder den Chef. Ob irgendwo auf einem Server Chat-Daten mit dem neusten Flirt lagern, ist egal, solange sie nicht dem Partner in die Hände geraten. Den Forscher wiederum stört es nicht, wenn die Recherchen für sein nächstes Paper bei Google oder in wissenschaftlichen Datenbanken Spuren hinterlassen. Hingegen will er auf keinen Fall, dass ein Konkurrent Zugriff darauf bekommt und Ideen abkupfert.
Das sind Vermutungen. «Deshalb sollten wir grundlegend und interdisziplinär über das Konzept der Privatsphäre nachdenken und empirische Belege für die Bedürfnisse der Menschen in diesem Bereich zusammentragen», hält Thouvenin fest. Er entwickelt derzeit zusammen mit Kollegen ein entsprechendes vierjähriges Forschungsprojekt mit dem Arbeitstitel «Rethink Privacy» im Rahmen des Center for Information Technology, Society, and Law (ITSL) und der Digital Society Initiative (DSI) an der UZH. Von besonderem Interesse sind dabei die Unterschiede zwischen verschiedenen Generationen und Rechtsordnungen.
Florent Thouvenins Kritik ist fundamental. Das hat auch mit seiner wissenschaftlichen Biografie zu tun. Ursprünglich befasste er sich in seiner Forschung vor allem mit Urheber-, Patent- und Markenrecht, ebenfalls stark von technologischem Wandel geprägten Rechtsgebieten. So begann sich der heute 42-Jährige mit einem frischen Blick mit dem Datenschutz zu beschäftigen und stellte vor allem Fragen. Befriedigende Antworten hat er bis heute nicht gefunden.
Im Gegensatz zu den meisten, von persönlichen Überzeugungen geprägten Kollegen versteht es sich für Thouvenin nicht von selbst, dass die Bürger vor Datenbearbeitungen durch Staat und Unternehmen zu schützen sind. Natürlich wisse er, wie andere das sehen, sagt der Professor, «aber das überzeugt mich nicht». Nachfragen, wo denn durch Datenverarbeitungen effektiv konkrete Probleme entstünden, blieben jeweils ergebnislos. «Ketzerisch könnte man sagen, das heutige Datenschutzrecht basiert vor allem auf einer diffusen Angst – vielen Leuten ist es irgendwie unwohl, weil sie nicht verstehen, was mit ihren Daten geschieht und was das für sie bedeuten kann.»
Und tatsächlich funktioniert der heutige Datenschutz auch nicht optimal. Ein zentrales Prinzip besteht darin, dass die Datenbearbeitung für die betroffenen Personen eigentlich transparent sein muss. Von echter Transparenz kann heute aber keine Rede sein. Was Google, Facebook & Co. mit Daten machen, bleibe für die Nutzer unklar, kritisiert Thouvenin. Aufgrund der bloss ungefähren Angaben verstehen selbst Fachleute nicht wirklich, wie und zu welchen Zwecken diese Unternehmen Daten im Einzelnen bearbeiten.
Zudem kann eine Person nach geltendem Datenschutzrecht nur dann rechtsgültig in die Verarbeitung ihrer Daten einwilligen, wenn ihr die Tragweite bewusst ist. Das bleibt in der Praxis toter Buchstabe. Wie man aus eigener Erfahrung weiss, klickt man meist ein Feld an und bestätigt damit, mit der Datenschutzerklärung einverstanden zu sein – ohne sich wirklich informiert zu haben. Erhebungen zeigen, dass bis zu 90 Prozent der Nutzer solche Erklärungen nicht lesen. Die informierte Zustimmung wird damit zur «grössten Lüge im Internet», das Instrument der Einwilligung zur «Fehlkonzeption».
Auch wenn er zuweilen deutliche Worte wählt, geht es Florent Thouvenin nicht darum, mit dem Holzhammer Bewährtes zu zertrümmern. Sein Ziel ist ein Datenschutz, der greift – und zwar präzis an jenen Punkten, die dem einzelnen Bürger wichtig sind. Manche der Datenschutzprinzipien verteidigt er mit Überzeugung. Die Datensicherheit etwa ist für ihn angesichts potenzieller Lecks «fundamental». Auch das Transparenzprinzip hält er hoch. Denn wer nicht wisse, wann und wie «seine» Daten bearbeitet werden, könne auch nicht entscheiden, ob er damit einverstanden sei oder sich wehren wolle.
Andere Prinzipien hält er für problematisch, weil sie die Nutzung von Daten erschweren und damit mögliche Chancen für Gesellschaft, Wirtschaft und Forschung verhindern, ohne aber betroffenen Personen einen effektiven Schutz zu vermitteln. Das gilt namentlich für die Datenminimierung – es dürfen nur so viele personenbezogene Daten verarbeitet werden, wie für den jeweiligen Zweck nötig sind – und der Speicherbegrenzung – Daten dürfen nur so lange aufbewahrt werden, wie es für diesen Zweck unabdingbar ist –, bis zu einem gewissen Grad aber auch für den Grundsatz der Zweckbindung – personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke gesammelt und verarbeitet werden.
Diese drei Grundsätze verhindern in vielen Konstellationen das Beschaffen, Nutzen oder Speichern von Daten, obwohl diese das Potenzial haben, beispielsweise in der medizinischen Forschung grossen Nutzen zu schaffen. So verlangt die Speicherbegrenzung ein möglichst rasches Löschen von Daten, obwohl sie sich in Zukunft als wertvoll erweisen könnten. Und die Zweckbindung verunmöglicht die Analyse für Zwecke, an die bei der Datenerhebung noch keiner dachte.
Wie gross das in Big Data schlummernde Potenzial tatsächlich ist, muss sich zwar erst noch zeigen. Schon heute ist aber klar, dass die Versprechen über Fortschritte in der personalisierten Medizin nur eingelöst werden können, wenn die Bearbeitung von Personendaten zu Forschungszwecken stark vereinfacht wird. Thouvenin bestreitet keineswegs, dass Datenbearbeitungen negative Auswirkungen haben können. Aus seiner Sicht müssten aber erst die konkreten Probleme identifiziert werden, um anschliessend passende Lösungen zu erarbeiten.
Ein solches Problem sind Diskriminierungen, die aufgrund von Datenbearbeitungen möglich sind, etwa die Individualisierung von Preisen für Güter des täglichen Bedarfs oder der Ausschluss von einer Versicherung. «Diesen Fragen müssen sich Politik und Gesellschaft stellen und beispielsweise entscheiden, bei welchen Arten von Versicherungen - etwa der Krankenversicherung – die Solidarität zentral ist und wo Versicherungen von ihren Kunden auch unterschiedliche Prämien verlangen dürfen.»
Heute sei ein solches Vorgehen weitgehend ausgeschlossen, weil das Datenschutzrecht mit Blick auf oft rein hypothetische Risiken die Bearbeitung von Personendaten «als solche» problematisiere und tiefgreifend reguliere. Dieser ultra-präventive Ansatz erschwere die Nutzung von Personendaten in Wirtschaft und Forschung massgeblich. Damit verursache er hohe Kosten, ohne einen klar erkennbaren Nutzen für die betroffenen Personen zu generieren. Ein alternativer Ansatz sollte Florent Thouvenin gemäss hingegen dort ansetzen, wo tatsächlich Probleme bestehen, und es erlauben, das in Daten steckende Potenzial zu nutzen. Das würde beispielsweise die Möglichkeit zu besseren medizinischen Therapien und einer differenzierteren, faireren Behandlung der einzelnen Menschen ermöglichen.