Ausgabe 06/2017 - Schwerpunkt Umsonst

Rolf Schwartmann im Interview

„Privatheit wird zum Luxus“

Rolf Schwartmann, Jahrgang 1965,
leitet die Forschungsstelle für Medienrecht an der Technischen Hochschule Köln. Er ist Vorstandsvorsitzender der Gesellschaft für Datenschutz und Datensicherheit und berät die Bundesregierung bei der Digitalen Agenda als Mitglied der von Bundesinnenminister Thomas de Maizière geleiteten Plattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft.

brand eins: Wenn Daten als das neue Öl gelten, warum sind wir dann nicht alle Ölscheichs?

Rolf Schwartmann: Wenn Daten das Öl des 21. Jahrhunderts sind, stellt sich die Frage, wo dieser Rohstoff abgebaut wird – und wer welche Rechte daran hat. Daten entstehen durch die Beobachtung und Vermessung menschlicher und anderer Aktivitäten. Wenn meine Persönlichkeit zur Datengewinnung genutzt wird, ist die Frage, in welcher Weise ich an der Verwertung dieses Rohstoffs personenbezogener Information beteiligt werde.

Wem gehören die Daten, die wir jeden Tag produzieren?

Im Augenblick sind Eigentumsrechte an Daten nicht ausreichend geklärt. Eigentum kann man juristisch nur an physischen Gegenständen erwerben, und Daten sind keine solchen Gegenstände.

Meine Daten sind zwar wertvoll, aber rechtlich ist trotzdem unklar, ob sie mir gehören?

Zumindest ist es nicht immer klar geregelt. Das ist auch deshalb so kompliziert, weil Daten rechtlich schwer zu fassen sind. Sie betreffen sowohl Eigentums-, als auch Datenschutz- und Urheberrechte. Daten lassen sich vervielfältigen wie Werke, die als geistiges Eigentum durch das Urheberrecht geschützt sind. Aber das Urheberrecht schützt in der Regel Schöpfungen. Die Frage ist also, ob und wie sich Urheberrecht auf Daten übertragen lässt. Datenschutzrechtlich wird zwischen geschützten personenbezogenen und nicht geschützten nicht personenbezogenen Daten unterschieden. Nur da, wo Persönlichkeit drin ist, gelten auch Persönlichkeitsschutzrechte wie das Recht auf informationelle Selbstbestimmung.

Entwickeln sich in dieser Grauzone „elektronische Märkte, auf denen die personenbezogenen Daten als Güter gehandelt“ werden, wie Ihr Kollege, der Rechtsinformatiker Professor Wolfgang Kilian, beklagt?

Ja, Adressen und andere personenbezogene Daten werden verkauft. Und wem diese Daten gehören, ist nicht geklärt. Weil Daten digitalisierte Gefühle sein können, haben diese Geschäfte oft auch eine ethische Dimension. Etwa wenn Facebook Stimmungsdaten von Nutzern, die sich für Themen wie Abnehmen oder Stärkung des Selbstvertrauens interessieren, mit deren Beziehungsstatus abgleicht, um sie einer Firma zur gezielten Kundenansprache anzubieten.

Andreas Weigend, der frühere Chef-Wissenschaftler von Amazon, argumentiert, dass die Daten erfasst, bearbeitet, gesammelt, verknüpft, analysiert werden müssen, um aussagekräftig zu werden – so wie Rohöl, das raffiniert wird.

Der Rohstoff ist trotzdem nicht kostenlos, zumindest sollte er es nicht sein. Die Wertschöpfungskette beginnt nicht erst in der Raffinerie. Es geht auch nicht nur um die Monetarisierung. Wichtig ist, zwischen ökonomischer Verwertung des Daten-Rohstoffs und der Kontrolle über seine Verwendung zu unterscheiden, also zwischen Eigentumsrechten und dem Recht auf informationelle Selbstbestimmung.

Weil dieser Rohstoff so wertvoll ist, denkt zum Beispiel der Informatiker Jaron Lanier, ein Kritiker übermächtiger Silicon-Valley-Konzerne, über eine „Datenkompensation“ nach: Die Datenraffinerien könnten die Menschen für ihre Daten bezahlen. Sollte etwa Google seinen Gewinn, im ersten Quartal 2017 immerhin 7,6 Milliarden Dollar, an seine mehr als eine Milliarde Nutzer und Datenlieferanten ausschütten?

Wie viel hat Google wirklich mit der Datenverwertung eingenommen? Das ist ja nicht identisch mit dem Gewinn. Umgerechnet auf den einzelnen Datenlieferanten sind das am Ende wahrscheinlich überschaubare Beträge. Aber die Frage nach dem Dateneigentum ist nur ein Seitenaspekt. Viel spannender ist die Frage nach der digitalen Souveränität und Transparenz, also nach dem Datenschutz in seinem Spannungsverhältnis zur wirtschaftlichen Freiheit von Datenunternehmen und Verbrauchern.

Der Datenschutz unterscheidet personenbezogene von nicht personenbezogenen Daten. Aber durch Verknüpfung und Statistik lassen sich anonymisierte Daten einzelnen Menschen zuordnen. So konnten US-Wissenschaftler im Jahr 2008 anonymisierte Filmbewertungen von Netflix-Nutzern auf deren Klarnamen zurückführen. Ist die juristische Konstruktion, die nur personenbezogene Daten schützt, nicht längst überholt?

Die Unterscheidung zwischen personenbezogenen und nicht personenbezogenen Daten ist möglicherweise nicht zukunftsfähig. Man kann die Persönlichkeit durch Anonymisierung zwar aus den Daten entfernen, aber das ist derzeit in der Tat nur ein unzureichender Schutz. Die technische Entwicklung ist weiter als das Bundesverfassungsgericht, das 1983 das Recht auf informationelle Selbstbestimmung entwickelt hat. Es entstehen auch viel mehr Daten. Nicht nur die Unterscheidung zwischen personenbezogenen und nicht personenbezogenen Daten ist schwieriger geworden, sondern auch der Schutz personenbezogener Daten.

Haben Sie ein Beispiel?

In modernen Autos misst ein Sensor die Belastung der Hinterachse. In der deutschen Rechtsprechung gibt es einen Fall, in dem nach einem Unfall die Versicherung Gewährleistungsansprüche erfolgreich mit der Begründung abgelehnt hat, die Achse sei überladen gewesen. Spannend ist die Frage, mit welcher Legitimation die Werkstatt diese eindeutig personenbezogenen Daten an die Versicherung weitergegeben hat. Ein anderes Beispiel aus der deutschen Rechtsprechung: Eine Straftat wurde mithilfe der Daten des Autos eines Carsharing-Dienstes aufgeklärt. Man konnte rekonstruieren, wo der Nutzer wann war, der Carsharing-Dienstleister hat personenbezogene Daten an die Staatsanwaltschaft weitergegeben.

Das Recht hinkt also der technischen Entwicklung hinterher?

Das ist so. Das ist auch wahrscheinlich unvermeidbar. Aber das Internet ist kein rechtsfreier Raum. Das Bürgerliche Gesetzbuch ist ungeheuer beweglich, es will Eigentum zum Wohl einer Volkswirtschaft schützen und verkehrsfähig machen. Es ist mehr als hundert Jahre alt und schafft es, vom Kauf eines Apfels bis zum Börsenhandel alles abzudecken. Das Strafrecht muss sich demgegenüber immer auf konkrete Straftatbestände beziehen. Ein Beispiel: Zu Beginn des vergangenen Jahrhunderts wurde Stromdiebstahl zum Problem. Strom ist kein physischer Gegenstand, das war juristisch nicht als Diebstahl zu fassen. Also hat der Gesetzgeber einen Straftatbestand geschaffen, den es heute noch immer gibt, der heißt „Entziehung elektrischer Energie“. Ähnliche Weiterentwicklungen des Rechts werden wir auch beim Umgang mit Daten sehen. Sie werden allerdings häufig nicht durch den Gesetzgeber, sondern durch die Rechtsprechung eingeführt werden, wie der Europäische Gerichtshof das kürzlich für das Streaming illegaler Angebote im Netz gemacht hat. Was gestern legal war, ist dann heute auf einmal verboten.

Der Bundesverkehrsminister Alexander Dobrindt hat vorgeschlagen, Daten juristisch wie physische Gegenstände zu behandeln, für die Eigentumsrechte gelten. Ist das praktikabel?

Das Bundesverkehrsministerium schaut immer auch auf die Automobilindustrie. Aus deren Sicht ist es natürlich interessant, wenn man juristisch ein Eigentumsrecht an Daten konstruiert, wie sie in einem Auto anfallen. Wenn diese Daten nicht dem Autofahrer, sondern dem Automobilkonzern gehören, kann er sie verwerten. Dagegen steht der Justizminister auf dem Standpunkt, nicht der Hersteller, sondern der Fahrer habe das Recht zu bestimmen, was mit diesen Daten geschieht. Wem gehört die Information, dass jemand in einer Tempo-50-Zone 100 gefahren ist oder wann er wo war?

Wie können Automobilkonzerne diese Daten zu Geld machen?

Zum Beispiel indem sie sie an Versicherungen verkaufen. Wer vorsichtig fährt, kommt in eine günstigere Risikoklasse. Das geschieht jetzt schon, aber nur mit dem Einverständnis des Berechtigten. Versicherungstarife, die zurückhaltendes Fahren belohnen, sind Verträge, die auf Verhalten beruhen. Letztlich sind sie nur dank Datenerhebung möglich. Ähnliches ist auch für Krankenkassen interessant. Sie können bei ihren Versicherten das Nutzen von Gesundheits-Trackern honorieren, die sportliche Aktivität, Essverhalten und Alkoholkonsum messen. Oder umgekehrt Versicherte durch höhere Tarife sanktionieren, wenn sie keine Tracker nutzen, den Versicherungen den Zugriff auf die Daten also verweigern. Technisch sind solche Verträge möglich. Setzen sie sich durch, bedeutet das in der Konsequenz das Ende des Solidargedankens, Lebensrisiken werden wieder stärker individualisiert. Man kann mit solchen Verträgen passgenaue Versicherungen anbieten, die für gesunde Menschen, die keine gesundheitsgefährdenden Berufe oder Hobbys haben, günstiger sind als für Risikogruppen. Solche Verträge sind nicht unfair. Sie haben nur harte Konsequenzen.

Haben wir überhaupt noch die Wahl, ob wir Datenspuren hinterlassen wollen oder nicht?

Wenn Sie ein modernes Auto fahren wollen, müssen Sie sich überwachen lassen. Nicht alle Daten sind personenbezogen, sie werden für Dienste gebraucht, die das Fahren sicherer und bequemer machen. Aber sie können auch entgegen den Interessen des Fahrers genutzt werden, etwa als Beweismaterial in Prozessen. Das betrifft juristisch die Zweckbindung der Datenerhebung, wonach Daten immer nur für bestimmte Zwecke erhoben und verwendet werden dürfen. Diese Zweckbindung ist nicht ausreichend gesichert. Ein Beispiel dafür ist die Nutzung von Suchmaschinen oder eines Musikstreaming-Dienstes. Ich zahle für ein Abonnement und kann im Gegenzug Musik hören. Ich liefere dem Dienst aber auch meine Nutzerdaten: Was höre ich zum Frühstück, was höre ich im Auto, welche Musik höre ich am liebsten auf Reisen. Daraus lassen sich Rückschlüsse ziehen. Interessant wird es, wenn ich aufgrund dieser Daten bei einer Reise nach New York Hotel- und Restaurantempfehlungen auf mein Smartphone bekomme. Dafür habe ich meine Daten nicht zur Verfügung gestellt. Wenn zum Beispiel Spotify Daten verwenden will, etwa um sie an die werbetreibende Industrie zu verkaufen, muss der Nutzer das wissen, genehmigen und am Mehrwert profitieren. Dienste wie Google kennen meinen Tagesablauf, meine Interessen, meine finanzielle Situation, meinen Beziehungsstatus und so weiter. Ich als Nutzer und Datenlieferant habe über die Vermarktung dieser Information nicht die geringste Kontrolle. Das aber verbietet der Zweckbindungsgrundsatz.

Die Anbieter von Internet-Diensten argumentieren, dass die Verbraucher als Gegenleistung für ihre Daten Gratis-Services erhalten.

Der Nutzer zahlt mit seinen Daten, gratis sind diese Dienste also nicht. Dass der Nutzer keine andere Wahl hat, als mit seinen Daten zu bezahlen, unterläuft den Datenschutz permanent. Das Problem ist, dass keine wahrhaft transparenten Verträge geschlossen werden. Nutzungsbedingungen, die man bei Internet-Dienstleistern akzeptieren muss, sind häufig AGB-rechtswidrig.

Auch der EU-Kommissar Günther Oettinger sieht eine Regelungslücke, aber eine andere als die Datenschützer. Vor einigen Monaten forderte er, „die Zugangs- und Nutzungsrechte an maschinengenerierten Daten“ zu klären, damit das wirtschaftliche Potenzial von Big Data genutzt werden könne.

Die Wirtschaft hat das Interesse, möglichst viele Daten möglichst frei verwerten zu dürfen. Diese Interessen erkennt die Politik aus guten Gründen an. Wenn die bisherige Unterscheidung zwischen personenbezogen und nicht personenbezogen nicht durchhaltbar ist, sollte der Gesetzgeber über ein neues Daten-Regime nachdenken. Um Rechtssicherheit zu erreichen, müssten Kategorien von Daten und die Möglichkeiten ihrer Nutzung rechtlich genauer gefasst und deren Nutzung abgestuft geregelt werden. Der Gesetzgeber muss die Rechte des Einzelnen an seinen Daten mit den Interessen der Allgemeinheit in einen gerechten Ausgleich bringen.

Wie soll der aussehen?

Darüber wird derzeit in unterschiedlichen Ministerien nachgedacht. Eine Frage ist, wie man Anonymität herstellen und sichern kann. Die Wirtschaft ist daran interessiert, weil sie damit auf rechtlich gesicherter Basis datengetriebene Geschäftsmodelle verfolgen könnte, ohne gegen Datenschutzbestimmungen zu verstoßen. Ein Daten-Regime könnte entscheiden, welche Kategorien personenbezogener Daten aus übergeordneten Gründen freigegeben werden. Das gibt es heute schon beim eCall. Jedes Auto, das ab April 2018 auf den Markt kommt, wird ein Notrufsystem haben, das bei Unfällen automatisch anspringt und die Kommunikation mit einer Unfallleitstelle übernimmt. Dieser eCall überträgt gesundheitsrelevante personenbezogene Daten, zum Beispiel die Information, ob die Fahrzeuginsassen noch leben. Das ist ein Eingriff in Persönlichkeitsrechte, der vom Gesetzgeber zum Schutz von Leben und Gesundheit gewollt ist. Weil die Daten aber auch an Abschleppunternehmen und Rettungsdienste gehen, sind sie wirtschaftlich interessant. Versicherungen interessieren sie auch. Das ist ein anderer Zweck.

Haben Sie damit ein Problem?

Mit einer gesetzlichen Abstufung überhaupt nicht. Das Bundesverfassungsgericht hat ja entschieden, dass man nicht per se ein Hoheitsrecht an seinen Daten hat. Bestimmte Nutzungen sind dem Datenberechtigten per gesetzlicher Anordnung zumutbar. In andere muss er einwilligen. Aber diese Demarkationslinie muss gesellschaftlich und politisch verhandelt und nicht einfach von Internetkonzernen festgelegt werden.

Wir müssen in der rechtlichen Debatte aufhören, nur in Schwarz und Weiß zu denken – also entweder alles zu erlauben oder alles verbieten zu wollen. Ist der Personenbezug noch das brauchbare Steuerungsinstrument? Sind in der Industrie 4.0 nicht maschinenbezogene Daten unter Umständen viel sensibler und genauso schützenswert wie personenbezogene Daten? Sind alle personenbezogenen Daten gleichermaßen schutzbedürftig? Das zu diskutieren ist ein wichtiger Schritt, weil er die Abwendung von einer Linie des Bundesverfassungsgerichts bedeutet. Muss der Gesetzgeber Kategorien von Daten definieren, für die er entsprechend die Zugriffsrechte klärt? Man könnte zum Beispiel definieren, welche Daten Automobilkonzerne zu welchem Zweck nutzen dürfen – also etwa für größere Sicherheit des Fahrens, aber nicht zum Weiterverkauf an Versicherungen. Das sind weitreichende Fragen und Versuche, konkrete Lösungen für noch nicht einmal hinreichend formulierte und erfasste Probleme zu finden.

Welche Folgen hätte es, wenn wir ein Eigentumsrecht an den von uns erzeugten Daten hätten?

Wenn die Daten, die ein fahrendes Auto erzeugt, dem Fahrer gehörten, könnte die Automobilindustrie ohne dessen Einwilligung kein datengesteuertes Auto mehr anbieten. Sie könnte auch sofort aufhören, selbstfahrende Autos zu entwickeln, weil dazu auch die Daten von Dritten genutzt werden, die nicht eingewilligt haben. Sie können heute als Autofahrer vielleicht Ihren Abstandssensor abschalten, aber Sie können nicht verhindern, dass die Autos, die neben und hinter Ihnen fahren, Sie mit ihren Abstandssensoren erfassen. Das hat zur Folge, dass Ihr Auto eingebunden wird, etwa in eine Messung der Verkehrsströme für Verkehrsstau-Warnungen.

Sie können es also nicht durchsetzen, dass die Daten, die Sie erzeugen, nur Ihnen gehören. Aber genau das würde ein Eigentumsrecht an Ihren personenbezogenen Daten bedeuten. Das wäre nur um den Preis durchsetzbar, dass der Verkehr wesentlich unsicherer werden würde. Wenn der Bundestag beschlösse, dass die Verursacher ein Eigentumsrecht an ihren personenbezogenen Daten bekommen, dürften moderne Autos nicht mehr verkauft werden.

Was würde so ein Eigentumsrecht etwa für Google, Instagram und andere Daten-Aggregatoren bedeuten?

Ihr Geschäftsmodell käme in Bedrängnis. Die Daten der Nutzer hätten einen Preis. Leistung und Gegenleistung müssten genau definiert werden. Bei einer Suchanfrage müssten Sie als Nutzer die Wahl zwischen zwei Texteingabefeldern haben. In einem bezahlten Sie mit Ihren Daten und bekämen als Gegenleistung für Ihre Anfrage eine Antwort. Google erführe, was Sie suchen, und müsste Ihnen genau auflisten, wie es diese Daten verwenden würde – und das dürfte angesichts der unzähligen Verwertungsmöglichkeiten kompliziert werden. In einem zweiten Suchfenster könnten Sie für die Google-Antworten einen Cent-Betrag bezahlen, im Gegenzug müsste Google Ihre Daten sofort wieder löschen. Damit wäre das sogenannte Kopplungsverbot eingehalten. Sie wären nicht mehr gezwungen, mit Daten zu bezahlen, sondern könnten mit Geld zahlen.

Und was wäre die Folge für Versicherungen?

Das Muster ist ähnlich wie bei Google. Versicherungen müssten den Kunden immer zwei Möglichkeiten anbieten: eine, bei der personenbezogene Daten nicht benutzt werden. Und eine, die den Versicherungen erlaubt, die Daten der Versicherten detailliert zu analysieren und ihnen individualisierte Angebote zu machen. Man zahlt mit Daten und bekommt dafür Rabatte. Das Problem ist, dass das ein Zwei-Klassen-System bedeutet: Wer nicht bereit ist, sich mittels seiner Daten in Risikoklassen sortieren zu lassen, muss sich herauskaufen und landet in der teuersten Risikoklasse. Er zahlt dafür, dass die Versicherung nicht mittels Daten seine Persönlichkeit auswertet. Privatheit wird zum Luxus. ---

Zum Weiterlesen

Andreas Weigend: Data for the People – Wie wir die Macht über unsere Daten zurückerobern.
Murmann, 2017; 352 Seiten; 26,90 Euro

Mehr aus diesem Heft

Umsonst 

Teure Geschenke

Christoph Müller überlässt Museen Gemälde im Wert von mehreren Millionen Euro. Als Gegenleistung verlangt er: nichts. Solche Gaben können die Museen allerdings viel Geld kosten.

Lesen

Umsonst 

Freispiel

Kostenlose Computerspiele werden immer beliebter. Doch sind sie tatsächlich gratis?

Lesen

Idea
Read