Grüne veröffentlichen Kurzgutachten zum Tracking

Heute hat die Bundestagsfraktion von Bündnis 90 / Die Grünen ein Kurzgutachten von iRIGHTS.Law zum Tracking veröffentlicht, welches sich sowohl mit Änderungsvorschlägen für den Verbraucherdatenschutz auseinander setzt, als auch die aktuellen technischen Möglichkeitsbedingungen für das Tracking sowie ihre Entwicklung in den letzten Jahren analysiert. Als Kurzgutachten ist es zwar nur 45 Seiten lang, dafür bearbeitet es den Sachverhalt recht eingängig. Als Lektüre für alle, die sich etwas intensiver mit Detailfragen des Datenschutzes auseinander setzen wollen, ist es problemlos zu empfehlen. Aber was steht nun grob drin?

Die Medienanwälte definieren Nutzerdaten und damit ihren Untersuchungsgegenstand als eine digitale Teilidentität:

Diese digitale Identität ist nie identisch mit der Person selbst, es handelt sich stets lediglich um eine Sammlung von Informationen über eine Person, die jedoch eine sehr große Annäherung an ein Gesamtbild ermöglicht oder suggeriert.

Mit dieser Herangehensweise versuchen sie der Beobachtung Rechnung zu tragen, dass informationstechnische Systeme in erster Linie Repräsentanzen oder die Beschreibung von Eigenschaften als Informationen speichern, da nicht alle Informationen die gesammelt werden können gleichermaßen quantifizierbar, und damit automatisiert auslesbar sind. 

Bei der Datenerhebung selbst handelt es sich um die altbekannten Verdächtigen: Tastatureingaben, Mauszeigerbewegungen, Spracheingaben, Videoaufzeichnungen, Orts- und Bewegungsinformationen. Eigentlich, heißt es im Gutachten „scheint es fast ergiebiger zu fragen, was nicht mehr zu irgendeinem Zeitpunkt digitalisiert vorliegt.“. Soweit bekannt. Hieraus ergibt sich die Brisanz und die politische Notwendigkeit von Datenschutzrichtlinien zur Schaffung echter digitaler Mündigkeit.

In der Zusammenführung der Daten liegt die Krux der Sache. Zum Web-Tracking gehören längst nicht mehr Internetseiten, die ausführliche Verlaufsprotokolle ihrer Nutzung anfertigen, sondern auch Javascript, Web-Applications, HTML5-Anwendungen ect. pp. Es ist auch keine Frage mehr, ob Informationen serverseitig oder lokal verarbeitet werden. Die Verkettung erfolgt dabei über mehrere technische Möglichkeiten: Cookies, Zählpixel, aber auch bestimmte Eigenschaften des Internet Protokolls, welches selbst bei „anonymen Surfen“ die IP-Adresse des Nutzers verwertbar machen kann.

Bezüglich der Auswertung stehen verschiedene Verfahren zur Verfügung, so zum Beispiel Scoring, welches ein statistisches Verfahren ist und unter anderem bei der Errechnung der Kreditwürdigkeit zum Einsatz kommt. Hinreichend bekannt ist die Geheimniskrämerei der SCHUFA, die erst dieses Jahr am Bundesgerichtshof erwicken konnte, keine Auskunft über ihr Scoring-Verfahren geben zu müssen. Daneben schauen sich die Gutachter bereits bestehende Regulierungsversuche wie zum Beispiel die „Cookie-Richtlinie“ von 2009 oder Do Not Track Bestrebungen, allerdings nicht wirklich positiv. Gerade bei Do Not Track monieren die Gutachter richtigerweise, dass bis jetzt kaum ein Fortschritt erzielt wurde und sich die Diskussionen um anzuwendende Verfahren und Zweck verlaufen.

Die Intransparenz und damit mangelnde Kontrollierbarkeit stellen dabei die Hauptprobleme. Gerade im Bereich der Profilbildung, wo eine unüberschaubare Zahl verschiedenster Nutzerdaten zusammengefügt werden, herrscht für die einzelnen Nutzer Funkstille. Gerade das Risiko, dass die verwendeten Algorithmen fehlerhaft sein könnten und damit vielleicht Zuordnungen auslösen, die den Nutzer schaden, ist spätestens seit der NSA-Debatte im öffentlichen Bewusstsein angekommen. Dies führt laut dem Gutachten zu einem Verlust der individuellen Autonomie, und die Vorschläge stellen Lösungsansätze dafür dar: 

Diese Empfehlungen sind folgendermaßen:

  • Die Anwendbarkeit des Datenschutzrechtes soll von dem Kriterium der Personenbeziehbarkeit gelöst werden. Stattdessen soll es ausgeweitet werden um einen weiter gefassten Begriff von persönlichen Daten zu umfassen.
  • Es sollen technische Lösungsansätze entwickelt werden, die der Vorbeugung von Profilbildung dienen. Dazu wäre beispielsweise eine Dezentralisierung der Datenvorhaltung in der IT-Landschaft sinnvoll. Dies soll zu einer stärkeren physikalischen Kontrolle von Nutzer_innen über ihre Daten beitragen.
  • Konkrete Haftungsregelungen und Schadensersatzansprüche im Falle von Datenschutzverstößen
  • Registrierungspflicht für bestimmte Verfahren, die personenbezogene Daten verarbeiten.

Ohne Vorschlag bleibt leider der Umgang mit der Drittbetroffenheit bei der Datenverarbeitung, was eigentlich eine der zentralen Fragen in den Diskussionen über den Umgang mit Tracking und Datensouveränität ist. Die Grünen wollen im Rahmen einer „Konferenz im Mai“ über die Vorschläge im Gutachten diskutieren. Wir sind gespannt darauf, ob und wie sie diese Empfehlungen aufgreifen.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.