Zwei Jahre nach Datenkrake Google ist aus den damals noch unscharfen Gedanken mit Unterstützung meiner Kolleginnen Annika Selzer, Andreas Poller und Mark Bedner ein Artikel geworden: Denkverbote für Star-Trek-Computer?, Datenschutz und Datensicherheit – DuD 38(1), Januar 2014, DOI: 10.1007/s11623-014-0008-x. Abgeschlossen ist das Thema damit nicht, die Diskussion geht gerade erst richtig los.
Vor 30 Jahren definierte das Bundesverfassungsgericht im Volkszählungsurteil das Recht auf informationelle Selbstbestimmung und erklärte es zu einer Voraussetzung für Freiheit und Gemeinwohl. Die elektronische Datenverarbeitung (EDV), so nannte man die Informationstechnik damals, steckte noch tief im Manufakturzeitalter. Datenbanken ersetzten gerade die Karteischränke, das beschriebene und sortierte Papier. Wissenschaftler begannen, über künstliche Intelligenz nachzudenken, aber das war eine Zukunftsvision; der Spielfilm Computer Chess fängt die Stimmung jener Zeit ein.
Einerseits zeugt das Volkszählungsurteil von Weitsicht. Aus der Datenmanufaktur ist eine Datenindustrie geworden. Computer spielen heute nicht nur Schach auf Weltmeisterniveau, sie gewinnen auch im Fernsehquiz Jeopardy! Amazon, Netflix, Last.fm und viele andere Dienste empfehlen uns, was unserem Geschmack entspricht, und liegen damit häufig genug richtig um uns erfolgreich etwas zu verkaufen. Google ermittelt aus Suchanfragen die Ausbreitung von Grippewellen, wenn auch nicht ganz genau. Das Thema Datensammlung und Datenverarbeitung grundsätzlich anzugehen erweist sich im Nachhinein als richtig.
Andererseits war die technische Entwicklung damals in ihren Einzelheiten kaum vorherzusehen. Als die Grundzüge unserer Datenschutzgesetze entstanden, dürfte niemand an ein Internet mit bald drei Milliarden Nutzern gedacht haben. Karteischränke und Datenbanken »wissen«, was man vorher darin abgelegt hat und über einen Index wiederfindet. Was man ihnen vorenthält, wissen sie nicht. Auf diese Vorstellung stützen sich weite Teile unseres Datenschutzrechts.
Heute aber sehen wir uns mit lernenden, zu einem gewissen Grad intelligenten Systemen konfrontiert und mit statistischen Verfahren, die aus Daten Modelle gewinnen und diese auf Einzelfälle anwenden. Geheimdienste sagen anhand von Facebook Proteste voraus; Surveillance by Algorithm nennt Bruce Schneier das. Online-Partnerbörsen setzen ähnliche Verfahren ein wie Online-Shops für Produktempfehlungen. Nicht nur Internet-Nutzer liefern Daten, sondern zum Beispiel auch Autos oder die vernetzte Haustechnik.
Betrachten wir diese Technik und ihre Anwendungen im alten Paradigma der elektronischen Karteischränke, führt dies zu überschießenden Warnungen, aber nicht zu einer effektiven Risikobehandlung. Einen Vorgeschmack gibt die Debatte um das Verbraucher-Scoring, die schließlich zu spezifischen Regelungen im Bundesdatenschutzgesetz führte, ohne dass damit alle Probleme befriedigend gelöst wären. Als sich die Schufa vor einiger Zeit anschickte, gemeinsam mit dem Hasso-Plattner-Institut die Auswertungsmöglichkeiten von Facebook-Daten zu untersuchen, war dies technisch folgerichtig, für den organisierten Datenschutz jedoch eine ungeheure Provokation. Das Vorhaben wurde nach öffentlichem Aufschrei zunächst abgebrochen.
Dass sich der Big-Data-Zug noch stoppen ließe, bleibt eine Illustion. Ebenso wie vor dreißig Jahren der PC und vor zanzig Jahren das Internet ist moderne Datenverarbeitung im Internet-Maßstab auf dem Wege der Demokratisierung. Uns bleibt nichts anderes übrig als diese Entwicklung hinzunehmen und sie konstruktiv zu begleiten. Dazu müssen wir uns zum einen von der einst formulierten Vorstellung lösen, Daten seien per se gefährlich und nur äußerst sparsam zu verarbeiten, und unsere Bemühungen um den Datenschutz auf die tatsächlichen Risiken konzentrieren. Zum anderen müssen wir diese Risiken effektiv behandeln.
Diskussionen um Datenschutzerklärungen und IP-Adressen sind dabei nur Scheingefechte; formale Lösungen gemäß überholten Paradigmen machen in der Praxis keinen Unterschied. Stattdessen stehen wir vor der Frage, wie wir statistische Inferenz und künstliche Intelligenz im Sinne der informationellen Selbstbestimmung handhabbar machen. Die Ziele des Datenschutzes bleiben richtig, aber seine Methoden sind – teilweise – überholt. Ein Beispiel mag dies verdeutlichen: Das Bundesdatenschutzgesetz enthält Regelungen zum Umgang mit besonderen Arten personenbezogener Daten: »Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.« Sie gelten als besonders sensibel und sollen daher besonders geschützt werden. Das ist eine gute Idee. Wenn Maschinen jedoch selbständig schlussfolgern, dann können sie solche Daten implizit verarbeiten, ohne dass sie jemals irgendwo explizit genannt werden. Formale Erklärungen und Erlaubnistatbestände ändern daran nichts.
Lösungen für solche Probleme finden wir nicht, indem wir Google, Facebook oder die Schufa verdammen. Sie zeigen uns nur, was heute technisch möglich ist. Wollen wir der Technik einen Rechtsrahmen geben, müssen wir tatsächlich über Denkverbote für Star-Trek-Computer nachdenken: darüber, ob wir sie wollen, und gegebenenfalls darüber, wie wir sie umsetzen.
Sicher ist sicher? 
Der Vergleich mit Star Trek-Computern hinkt etwas. Der Datenschutz existiert vor allem deshalb, weil die Informationen über ethnische Herkunft, politische Einstellung etc. heute vor allem gegen ihren Inhaber eingesetzt werden, z.B. zur Diskriminierung. In der Gesellschaft der Zukunft, wie Star Trek sie zeigt, gibt es keine Diskriminierung mehr und dementsprechend auch keine Notwendigkeit für Datenschutz.
Das ist ein interessanter Einwand. Ganz so weit haben wir den Bogen nicht gespannt und das Thema „Star-Trek-Computer“ nur technisch interpretiert. Vervollständigt lautet die Frage dann wohl: Was tun wir, wenn wir Star-Trek-Computer ohne Star-Trek-Gesellschaft haben?
„Stattdessen stehen wir vor der Frage, wie wir statistische Inferenz und künstliche Intelligenz im Sinne der informationellen Selbstbestimmung handhabbar machen.“
Rule of the algorithm…
„Thou shalt not make a machine in the likeness of a human mind.“
http://en.wikipedia.org/wiki/Butlerian_Jihad
Or if we make a machine intelligent… it has to become „more human(e) than human“!
Ich habe kürzlich einen interssanten Vortrag entdeckt, der auch hier im Zusammenhang passen könnte…
Wie macht man künstliche Intelligenz und autonome Systeme (prinzipiell) sicher und gesellschaftstauglich?
Steve Omohundro: Autonomous Technology and the Greater Human Good
Danke für diesen Tipp.
Die Diskussion über dieses Thema ist übrigens schon viel älter: http://kritikresistenz.blogsport.de/2013/10/12/post-privacy-ist-sowas-von-eighties/
Eure Vorschläge aus dem DuD-Beitrag sind selbst sehr unkonkret, auch wenn der Hinweis auf „Persönlichkeitsrechte“ IMO durchaus treffend ist. „Andererseits war die technische Entwicklung damals in ihren Einzelheiten“ im Sinne von Murphys-Gesetz sehr wohl vorauszusehen. Diese warnende Funktion plakativ den Aktivist*innen anzulasten (wie es in anderen Blog-Posts von dir anklingt), finde ich falsch.
Stimmt, mit konkreten Vorschlägen tun wir uns noch schwer. Wir haben erst einmal versucht, das Problem oder einen Teil davon zu artikulieren.
Murphys Gesetz finde ich nur mäßig hilfreich. Es trifft lediglich eine Existenzaussage, beinhaltet aber keine Risikoeinschätzung. So taugt es nur als Totschlagargument gegen alles, was nicht völlig belanglos ist. Als Entscheidungsgrundlage reicht das nicht, sondern wir müssen wissen oder schätzen, wie oft welche Schadenshöhen eintreten.