Partner von
Partner von

Viktor Mayer-Schönberger im Interview

Von Datenschutz bis Wettbewerbsrecht – brauchen wir in der Internet-Ökonomie neue Regeln? Viktor Mayer-Schönberger, Datenexperte und Jurist, sagt Ja. Und er hat auch schon ein paar Ideen.




Viktor Mayer-Schönberger, geboren 1966, gründete in den Achtzigerjahren eine Firma für Datensicherheit; heute lehrt und forscht er als Professor of Internet Governance and Regulation am Oxford Internet Institute. Er hat zahlreiche Bücher geschrieben. Jüngst erschien „Das Digital – Markt, Wertschöpfung und Gerechtigkeit im Datenkapitalismus“.

brand eins: Warum gibt es Datenschutz, Herr Mayer-Schönberger?

Viktor Mayer-Schönberger: Es gibt zwei sehr unterschiedliche Begründungen. Die eine ist die intrinsische: Wir alle brauchen Privatsphäre, einen geschützten Raum der Selbstgestaltung. Das ist verständlich. Aber fast alle Datenschutzbestimmungen, die wir heute haben, beziehen sich auf eine andere, utilitaristische Begründung. Mit dem Argument: Wir schützen personenbezogene Daten, weil es ein anderes größeres Gut dahinter gibt.

Welches?

Das können ganz verschiedene Güter sein. Sehr oft geht es um Machtausgleich: Wenn ökonomische oder informationelle Macht sehr ungleich verteilt ist, soll Datenschutz einen Ausgleich herstellen. Jedes Datenschutzgesetz der Welt räumt zum Beispiel den Betroffenen Zugang zu den über sie gespeicherten Daten ein. Das ist ein informationeller Machtausgleich. Ein anderes Gut wäre Diskriminierungsfreiheit: Datenschutz soll verhindern, dass Menschen etwa aufgrund ihres Alters oder Geschlechts benachteiligt werden. Das bezieht sich wiederum auf den Gleichheitsgrundsatz, wie wir ihn aus dem Verfassungsrecht kennen.

Wie muss Daten- und Verbraucherschutz in Zeiten von Facebook, Google und selbstlernenden Systemen aussehen?

Beide müssen sich radikal verändern. Man kann durchaus von einem nötigen Reset sprechen. Schauen wir uns zuerst den Verbraucherschutz an: Wir haben es in der Datenökonomie mit immer stärkeren Feedback-Effekten zu tun. Je mehr Daten Firmen wie Google oder Facebook verarbeiten, umso besser werden die Angebote, umso mehr Menschen nutzen sie, umso stärker werden die Firmen. Das ist ein großer Unterschied zu früher, als wir es vor allem mit Skalen- und Netzwerk-Effekten zu tun hatten.

teDank Skalen-Effekten können große Firmen billiger einkaufen und niedrigere Preise anbieten; bei Netzwerk-Effekten steigt der Nutzen einer Dienstleistung exponenziell zur Nutzerzahl. Ein Wechsel zu einem kleineren Anbieter bringt Nachteile mit sich.

Den Skalen-Effekten konnte man noch mit einem verhaltensbasierten Wettbewerbsrecht begegnen. Dieses sagt: Wenn du groß bist, sogar Monopolist, ist das erst mal kein Problem. Du musst dann nur vorsichtiger sein, um den anderen nicht die Luft zum Atmen zu nehmen. Ein Machtausgleich. Als die Netzwerk-Effekte hinzukamen, funktionierte das verhaltensbasierte Wettbewerbsrecht nicht mehr so gut: Die ganze Debatte um Netzneutralität (siehe brand eins 08 /2015, „Klassenkampf im Netz“ ) ist eine Verhaltensdebatte: Der Netzbetreiber darf bestimmte Datenpakete nicht schneller schicken als andere.

In den USA hat die zuständige Bundesbehörde für Kommunikation FCC gerade beschlossen, die Regularien zur Netzneutralität neu zu verhandeln. Welche Auswirkungen kann das haben?

Das ist schwer abzuschätzen. Die Befürworter der Netzneutralität befürchten, dass damit bestimmte Inhalte im Netz einfacher zugänglich werden und andere schwieriger – je nachdem, was den Telekomunternehmen in den Kram passt. Das wäre dann eine Art versteckter Zensur.


Das auf individuelle Rechte bezogene Datenschutzsystem funktioniert nicht mehr. Wir brauchen ein kollektiveres Datenschutzrecht. Weil die Fragestellungen kollektiver werden. Es geht darum, wie Wettbewerb, Innovation und Datenschutz gesamt gesellschaftlich sichergestellt werden.

Wie kann man den Netzwerk-Effekten beikommen, wenn die Verhaltensregeln nicht mehr funktionieren?

Indem man es den Kunden leichter macht zu wechseln. Das hat ganz gut etwa mithilfe der Rufnummernportabilität geklappt. Die Rufnummer gehörte lange Zeit der Telefongesellschaft. Wer den Anbieter wechseln wollte, konnte sie nicht mitnehmen. Durch die Rufnummernportabilität hat man die Telekommunikationsunternehmen hier faktisch enteignet und so den Wettbewerb gefördert. Ähnliches wird bei der neuen EU-Zahlungsrichtlinie passieren, die 2018 in Kraft tritt. Dann können Kunden beispielsweise unkompliziert die Bank wechseln, ohne mühsam alle Daueraufträge und Einzugsermächtigungen umstellen zu müssen.

Sie sagten, dass die Internet-Ökonomie zunehmend auch von Feedback-Effekten geprägt wird. Wie kann man diesen regulatorisch begegnen?

Feedback-Effekte führen dazu, dass die Innovationskraft aus den Daten stammt und nicht mehr aus den guten Ideen der Menschen im Unternehmen – und damit werden die Großen nicht nur größer, sondern auch stets innovativer. In der klassischen kapitalistischen Marktwirtschaft war Innovation die einzige Chance, die kleine Unternehmen gegen größere hatten. Sie konnten ein neues Produkt, einen neuen Prozess entwickeln, dem der Große nichts entgegenhalten konnte. Wenn das nicht mehr möglich ist, muss sich regulatorisch etwas tun, das über Verhaltensregeln hinausgeht. Denn Feedback-Effekte treten unabhängig davon ein, wie sich ein großes Unternehmen verhält. Das muss die Kleinen gar nicht aktiv rausdrängen – es ist automatisch innovativer. Deshalb muss man gegensteuern, etwa mit einer progressiven Daten-Sharing-Pflicht.

Können Sie das näher erklären?

Jedes Unternehmen, das einen gewissen Marktanteil überschreitet, muss einen Teil der Daten, mit denen es arbeitet, seinen Konkurrenten zur Verfügung stellen. Je größer der Marktanteil, desto größer der Anteil der zu teilenden Daten. Mit diesen können die anderen Unternehmen ihre Algorithmen und selbstlernenden Systeme füttern.

Den Nutzern wird es kaum gefallen, wenn ihre Daten plötzlich bei allen möglichen anderen Unternehmen landen.

Die Daten werden anonymisiert und zufällig ausgewählt, und auch nur ein Teil von ihnen wird geteilt.

Google, mit einem Suchmaschinen-Marktanteil von mehr als 90 Prozent in Deutschland, müsste also einen Teil der eingehenden Suchanfragen mit Konkurrenten teilen?

Genau. Diese werden dann zufällig aus der Gesamtheit der Daten herausgezogen. Und ein großer Konkurrent erhält genauso viele Daten wie ein kleines Start-up. Sobald der große Konkurrent eine gewisse Marktanteilsgrenze überschritten hat, muss er auch einen Teil an Google und das kleine Start-up abgeben. So bleibt Chancengleichheit gewahrt, die gut für den Wettbewerb und somit für den Verbraucher ist, die in den digitalen Winner-takes-it-all-Märkten leicht verloren geht.

Im Mai 2018 tritt die neue EU-Datenschutzgrundverordnung in Kraft. Haben lokale Regulatoren in einer globalisierten, digitalen Welt überhaupt noch eine Chance?

Das ist eine heiß diskutierte Frage. Auch unterschiedliche Regulierungssysteme stehen miteinander im Wettbewerb. Die landläufige Meinung ist, dass Staaten Regulierungsbedingungen immer weiter absenken, um große Firmen anzulocken.

Apple, Facebook oder Google haben einst große Unternehmensteile in Irland angesiedelt. Ist dies das Ergebnis eines regulatorischen Race to the Bottom?

Die irische Datenschutzbehörde mag zu oft Ja gesagt haben, aber das war mit Sicherheit nicht der einzige Grund der Unternehmen, sich dort anzusiedeln. Die niedrigen Steuern und Arbeitskosten und die englische Sprache waren sicherlich auch Gründe, die Irland zu einem attraktiven Standort machten. Trotzdem hat die Europäische Union den Datenschutz bewusst vereinheitlicht. Firmen können sich also nicht mehr das Land mit den laxesten Regeln aussuchen, sondern müssen sich europäischem Recht unterwerfen, sobald sie in Europa Einnahmen haben und Zweigstellen unterhalten.

Die Paradise Papers haben gezeigt, dass Apple – zumindest auf dem Papier – einen Großteil seiner Geschäfte aus Irland bereits auf die Kanalinsel Jersey verlagert hat. Welche Effekte hat es auf das Wettbewerbsrecht, dass Konzerne so schnell die Jurisdiktion wechseln können?

Diese Verlagerung war so rasch möglich, weil Apple ja keine Arbeitsplätze verschieben musste, sondern bloß den Sitz bestimmter Rechte, denen wiederum ein Gutteil der Gewinne zugeordnet werden kann. Dabei sind die Kanalinseln eines der letzten Steuerparadiese in Europa – das werden sie wohl nach dem Brexit nicht mehr so stark sein. Insoweit ist auch diese Konstruktion für Apple wohl zeitlich beschränkt. Insgesamt steigt der Druck innerhalb der EU, nicht nur beim Datenschutz, sondern auch bei den Unternehmenssteuern einheitliche Regeln zu schaffen – ein Stück weit ist dies eine gute Entwicklung.

Datenschützer sind also gar nicht so machtlos, wie es oft dargestellt wird?

Nein, ich denke nicht. Wenn in Brüssel nur Papiertiger agierten, würden Google, Apple, Microsoft dort nicht derartige Lobbyarbeit machen. Wenn man übrigens in Brüssel fragt, wer am meisten gegen die Datenschutzgrundverordnung gekämpft hat, hört man, dass die US-Tech-Firmen schon Druck ausgeübt haben. Aber nicht mehr als manche deutschen Medienunternehmen, die durch einen starken Datenschutz wohl ihren lukrativen Adresshandel gefährdet sahen.

Aber wenn die Datenschutzgrundverordnung nun kommt und wirksam ist – brauchen wir dann tatsächlich noch den regulatorischen Reset, von dem wir vorhin gesprochen haben?

Die Datenschutzgrundverordnung macht schon ein paar Dinge richtig. Aber sie ändert nichts an dem Grundprinzip, dass die Betroffenen selbst über die Verwendung ihrer personenbezogenen Daten entscheiden. Das ist eine Wunschvorstellung. In der Praxis entscheiden wir gar nicht frei, sondern müssen unser Häkchen bei den Nutzungsbedingungen machen, wenn wir die entsprechende Dienstleistung nutzen wollen. Das hat nichts mit informationeller Selbstbestimmung zu tun. Wir sind zwar rechtlich bemächtigt, aber faktisch entmachtet. Einer der Konstruktionsfehler des ursprünglichen Bundesdatenschutzgesetzes lag eben darin, dass die Betroffenen immer den Rechtsweg beschreiten mussten. Das heißt, die Durchsetzung der Datenschutzrechte hängt immer von der Bereitschaft ab, ob der Nutzer gegen Facebook oder den Axel-Springer-Konzern klagen will.

Das passiert nicht allzu oft. Wie müsste es stattdessen laufen?

Das auf individuelle Rechte bezogene Datenschutzsystem funktioniert nicht mehr. Wir brauchen ein kollektiveres Datenschutzrecht. Weil die Fragestellungen kollektiver werden. Es geht darum, wie Wettbewerb, Innovation und Datenschutz gesamtgesellschaftlich sichergestellt werden. Wer personenbezogene Daten verwendet, muss sich verpflichten, sie nur verantwortungsvoll zu verwenden.

Wie könnte das konkret aussehen?

In anderen Bereichen ist das bereits Standard. Ein Unternehmen, das Aufzüge herstellt, muss sie so bauen, dass das Risiko derer, die sie verwenden, klein ist. Zum Beispiel, indem es neben den Tragseilen noch eine Bremse für den Notfall gibt. Auch Autohersteller sind verpflichtet, in ihre Autos Sicherheitsgurte einzubauen. Niemand geht davon aus, dass die betroffenen Autokäufer die nachträglich einbauen.

Warum hat sich die digitale Welt so lange vor diesen Regeln drücken können?

Derartige Verantwortlichkeiten und Haftungen sind nur möglich, wenn klar ist, was die Anbieter tun müssen, um sich daraus zu befreien. Wenn sich eindeutig festlegen lässt, welche Gefahrenstoffe etwa in Lebensmitteln nicht verwendet werden dürfen. Oder wenn sich ein Verfahren bestimmen lässt, das prüft, ob das Risiko für den Verbraucher minimiert ist. Der TÜV bedient sich derartiger Verfahren. In der digitalen Welt müssen sich solche Regeln und Verfahren erst etablieren.

Ist ein Datenschutz-TÜV denkbar?

Bei der Verwendung personenbezogener Daten haben europäische und amerikanische Experten in den vergangenen Jahren tatsächlich sehr aufwendig solche Prozessrichtlinien festgelegt. Da hätten wir schon eine Blaupause für die Unternehmen: Prozesse und Risikoabschätzungsmechanismen, die einige Firmen auch schon anwenden – bislang allerdings freiwillig.

Könnte man sagen, dass mangelnder Datenschutz eine negative Externalität ist? Wie Umweltverschmutzung, die im Entscheidungsprozess eines Unternehmens so lange nicht auftaucht, wie ausschließlich die Allgemeinheit darunter leidet?

Ja, und diese Kosten und Risiken in der Verwendung von personenbezogenen Daten müssen wir internalisieren. Wir müssen dabei schon die Kosten der Gefahrenabwägung jenen zuschreiben, die am Ende den Mehrwert einstreichen. Bisher mussten die Nutzer die Risikoabschätzung selbst durchführen. Und die Kosten für diese Abwägung liegen bislang komplett beim Nutzer. Das müssen wir umkehren und den Firmen auftragen, denn sie profitieren aus der Datennutzung. Das mag großes Wehklagen verursachen, aber die IT-Konzerne sind dadurch nicht schlechter gestellt als alle anderen Wirtschaftsteilnehmer, die risikobedingte oder risikogeneigte Tätigkeiten ausüben.

Bringt ein Algorithmus-Transparenz-Gesetz etwas, wie es der scheidende Bundesjustizminister Heiko Maas fordert?

Nein, das ist leider ein etwas dummer Vorschlag. Aber ich fürchte, ich bin daran mitschuldig.

Warum?

Weil ich mich 2013 für einen „Algorithmus-TÜV“ ausgesprochen und die Transparentmachung von Algorithmen gefordert habe. Das war aus heutiger Sicht Blödsinn. Es war falsch gedacht. Denn jeder Algorithmus spiegelt nur das wider, was gerade in den Daten vorhanden ist. Sobald ein neuer Datenpunkt hinzukommt, passt sich der Algorithmus an. Das ist der Kern des Machine Learning. Mache ich also diesen Algorithmus heute transparent, ist er morgen schon veraltet.

Und wenn man den Meta-Algorithmus transparent macht? Also die Art, wie das System lernt?

Dann habe ich in Wirklichkeit zu wenig in der Hand, ich weiß allenfalls abstrakt, wie das System lernt, aber nicht, was es lernt.

Also müssen letztlich doch Daten geteilt werden?

Die tatsächliche Einsicht schlummert in den Daten, nicht in den Algorithmen. Und es gibt noch einen anderen Grund, warum es wichtig ist, dass Unternehmen ihre Daten teilen – und zwar immer eine neue Zufallsauswahl: Nur so ist die Datendiversität sichergestellt. Wenn Sie die Algorithmen transparent machen, verwenden schlimmstenfalls alle irgendwann dieselben. Das würde für eine extrem hohe Abhängigkeit von der Fehlerlosigkeit eines einzigen Algorithmus sorgen. Noch dazu gäbe es keinen Innovationsanreiz: Alle würden sich auf das verlassen, was etwa Google macht. Das würde die Innovationsdynamik genau dort eindämmen, wo wir sie am meisten brauchen.

Wie denken die Verantwortlichen bei Google und Facebook über Ihre Vorschläge?

Rational gesehen müssten sie einem derartigen System zustimmen. Denn es sollte auch in ihrem Interesse sein, dass die Märkte kompetitiv bleiben. Facebook und Google haben jahrelang quasi Monopolrenditen eingefahren – ohne dass sie besondere Verpflichtungen gegenüber der Gesellschaft hatten. Das ist vergleichbar mit der US-Automobilindustrie in den Sechzigern, bevor Ralph Nader sie wegen schwerer Sicherheitsmängel angeprangert hat. Oder mit der amerikanischen Tabakindustrie vor den Achtzigern und Neunzigern, als sie die großen Prozesse verlor. In Wahrheit ist die stärkere Regulierung, die jetzt kommen muss und wird, nur ein Stück zurückkehrende Normalität. Wer den großen ökonomischen Mehrwert aus so vielen Transaktionen erwirtschaftet, wie es die Internet-Giganten tun, der muss sich auch gesellschaftlicher Verantwortung stellen. ---