Datenschutz

Grundsatzlose SPD-Grundsätze zur „Datenpolitik“

Datenschutz ist veraltet, Geschäftsmodelle à la Silicon Valley sind die Zukunft: Was das Forum Netzpolitik der Berliner SPD in einem Positionspapier zur Datenökonomie aufgeschrieben hat, liest sich wie ein Lobby-Papier, findet unsere Gast-Autorin Christiane Schulzki-Haddouti. Dabei ist die Debatte längst weiter.

Beispielhaft für die Berliner SPD-Grundsätze zur Datenpolitik: Fitness-Tracker kommen zwar vor, die Datensammlung und -verwertung durch Hersteller und Diensteanbieter wird aber mit keinem Wort erwähnt. CC-BY 2.0 Kārlis Dambrāns

Das Forum Netzpolitik der SPD Berlin hat ein Positionspapier zur „Datenpolitik“ erarbeitet. Doch mit dem Titel fängt das Problem schon an: „Grundsätze für das sozialdemokratische Datenzeitalter“ heißt er. Doch „Grundsätze“ lassen sich vor lauter Lobby-Einfluss nicht wirklich erkennen. Die wären aber durchaus notwendig, wenn die Grundrechte der Nutzer berührt werden.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Beim Lesen entsteht der Eindruck, die SPD wolle den vielen deutschen Start-Ups das Geschäft mit den personenbezogenen Daten unter keinen Umständen vermiesen. Das Problem ist nur, dass sie damit Geschäftsmodelle nach dem Vorbild des Silicon Valley ermöglichen will. Und entsprechend werden auch nur solche Regelungsmechanismen präferiert, wie sie in den USA, nicht aber in Europa praktiziert werden.

Die Datenschutz-Grundverordnung nicht verstanden

Konsequent wird die Europäische Datenschutz-Grundverordnung ausdrücklich nur für ganz wenige Regelungen gelobt, doch ihr Regelungsmechanismus wird verkannt: Neue „Privacy by Design“-Techniken, die nur dann eine Chance haben, wenn eine starke Verpflichtung besteht, die Einwilligung der Nutzer zur Verwendung ihrer Daten einzuholen, werden in dem Papier beispielsweise ignoriert. Auch brandneue Instrumente wie die Datenschutz-Folgenabschätzung, die überhaupt erst eine Erfassung der Grundrechtsrisiken im Vorfeld einer Produkteinführung ermöglicht, werden nicht angeführt. Nur auf ihrer Grundlage können aber auch notwendige technisch-organisatorische Schutzmaßnahmen im Vorfeld auch unternehmensfreundlich ausgehandelt werden.

Sätze wie „die derzeitige Datenpolitik krankt daran, dass sie sich nahezu sklavisch allein an den Datenschutzprinzipien des 20. Jahrhunderts orientiert“ wirken befremdlich und legen nahe, dass die Autoren die Mechanismen der Datenschutz-Grundverordnung nicht wirklich reflektieren. Gefragt wäre eine kritische Weiterentwicklung der Grundverordnung. Stattdessen entsteht der Eindruck, die Autoren möchten die Uhr am liebsten um fünfzig Jahre zurückdrehen – in die Zeit der 1970er Jahre, als das Konzept der „Informationellen Selbstbestimmung“ gerade erst erdacht wurde. Damals träumten einige Bürokraten davon, mittels Datenfusion und Datamining in Siemens-Großrechnern einen ganzen Staat auf Knopfdruck managen zu können. Nur kamen ihnen dann einige Querköpfe dazwischen.

An der Realität vorbei

Entlarvend ist der Satz: „In der Summe sind alle Datenschutzprinzipien darauf ausgerichtet, welche Daten überhaupt erhoben sowie wie lange diese gespeichert und verarbeitet werden dürfen.“ Das ist nicht korrekt, wenn man sich das Standard-Datenschutzmodell zur Hand nimmt, das als Prüftool derzeit von der Datenschutzaufsicht erprobt wird. Es listet sechs komplementäre Gewährleistungsziele auf, deren Konzeption in den letzten zwanzig Jahren von Wissenschaftlern und Praktikern erarbeitet wurde: Verfügbarkeit, Vertraulichkeit, Integrität, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit – sowie das Prinzip der Datensparsamkeit.

Die Datenschutzdebatte ist damit längst auf einem anderen Niveau angelangt, doch eine Auseinandersetzung damit findet man nicht in diesem Papier. Es präferiert hingegen, ohne es auf Seite 6 ausdrücklich so zu sagen, einseitig ein pränatales Datenschutzmodell des Silicon Valley: Google mit seinem Transparenz-Dashboard, das dem Nutzer ein wenig Intervenierbarkeit einräumt. Dies soll genügen, um die Datensparsamkeit opfern zu dürfen. Fragen zur Integrität, Verfügbarkeit, Vertraulichkeit und Nichtverkettbarkeit werden nicht näher adressiert.

Ähnlich ungenau geht es dann weiter: In Sachen Fitness-Tracker soll eine Datenübermittlung an Krankenkassen und Staat „genau definiert“ werden, gleichzeitig wird die Datensammlung und -verwertung seitens der Hersteller und Diensteanbieter mit keinem Wort adressiert. Beim Thema „soziale Diskriminierung durch Algorithmen“ wird das heiße Thema „Scoring“ nicht einmal namentlich benannt, das immer stärker auch von Unternehmen eingesetzt wird, um Arbeitnehmer zu kontrollieren. Das Thema Beschäftigtendatenschutz findet sich in dem SPD-Papier gar nicht.

Keine Ideen zu staatlicher Überwachung

Die staatliche Überwachung wird zwar adressiert und die Abschaffung der Vorratsdatenspeicherung gefordert. Doch Überwachung hat viele Facetten und viele Paragraphen – eine breite Evaluierung der diversen Maßnahmen wird aber noch nicht einmal gefordert. Das Thema Kontrolle durch diverse Aufsichtsorgane wird kurz angeschnitten: Eine bessere parlamentarische Kontrolle soll es richten. Überlegungen, was eine Kontrolle effektiv machen könnte, gibt es nicht wirklich.

Dabei wäre die Liste möglicher Vorschläge lang: Ein hilfreicher Maßstab für die Ausstattung einer Kontrolle wären definierte Mindestkontrollzyklen angelehnt an der Eingriffstiefe der Maßnahmen. Auch wäre zu überlegen, ob wechselnde, interdisziplinäre Kontrollteams für Vor-Ort-Kontrollen bei Sicherheitsbehörden sinnvoll wären. Die neue Hackerbehörde ZITIS könnte mit Freischaltcodes für bestimme Instrumente nach dem 4- oder sogar 6-Augen-Prinzip arbeiten. Eine Grundrechte-Folgeabschätzung für die Ausgestaltung von Überwachungssystemen vor deren Beschaffung könnte zwingend vorgeschrieben werden. Die Datenschutz-Aufsichtsbehörden könnten mit Sanktionsbefugnissen für den öffentlichen Bereich ausgestattet werden. Und ein Nichtbefolgen von Beanstandungen seitens Behörden könnte mit der einseitigen Aufhebung von Geheim-Klassifizierungen der Beanstandungsberichte sanktioniert werden.

Aber vielleicht kommt das ja noch im nächsten Grundsätze-Update.

Dies ist ein Gastkommentar der IT-Journalistin Christiane Schulzki-Haddouti (@kooptech).

Weitersagen und Unterstützen. Danke!
22 Kommentare
  1. Die DS-GVO ist tatsächlich ein erschreckendes Papiermonster, das den größten Teil der kleinen und mittleren Unternehmen in Europa kraß überfordern und sinnvolle Innovation stark hemmen wird. Formuliert in der klaren Absicht, Google und Facebook zu bändigen, trifft sie alle Unternehmen in der EU. Im Grunde ist die DS-GVO eine Aufforderung, datenbasierte Geschäftsmodelle künftig von Anfang an außerhalb der EU zu entwickeln. Es sei denn, man ist ein sehr großes Unternehmen mit entsprechender Rechtsabteilung.

    Was die SPD jetzt treibt, ist natürlich Unsinn. Sinnvoll wäre gewesen, Mechanismen zu schaffen, um die Regelungen des Bundesdatenschutzgesetzes endlich mal durchzusetzen. Im Gegensatz zur DS-GVO war das BDSG nämlich Zeit seines Lebens bloß ein Papiertiger, den niemand wirklich ernst genommen hat. Schade. Seine Regelungen hätten – auf die europäische Ebene ausgerollt und wirksam durchgesetzt – ein durchaus beachtliches Datenschutzniveau gewährleistet, ohne ein Übermaß an Bürokratie zu schaffen.

    1. Es ist zwar richtig, dass die Grundverordnung ein großes Stück Papier ist, aber sicherlich deshalb, weil die Kommission erwartete, dass die Lobby dafür sorgen würde, dass es zusammengestrichen wird im Parlament. Man muss aber nicht so tun, als sei nationales Agieren der Schlüssel. Denn Verordnungen werden nicht national umgesetzt wie Richtlinien. Das Bundesdatenschutzgesetz ist im Kern passé, weil eine europäische Grundverordnung es ersetzt. Das wurde notwendig durch das Verhalten Irlands.

      Anders als kolportiert wurde, bestimmt die Grundverordnung relativ wenig für den Onlinebereich. Das ist Gegenstand der europäischen Regeln, die auf die Grundverordnung aufsetzen. Wenn man den Datenschutz KMU-freundlich machen will, ist dort anzusetzen.

  2. Ein bisschen Schulz macht das Umfallen von Heiko Maas bei der Einführung der sog. Vorratsdatenspeicherung nicht vergessen. Unvergessen ist auch das Abstimmungsverhalten der damaligen SPD-Delegierten-Versammlung. Und dokumentiert ist auch die namentliche Abstimmung der SPD-Bundestagsabgeordneten. Damals gab man sich extrem beratungsresistent.

    Warum also soll gerade die SPD jetzt vor der Wahl eine akzeptable Netzpolitik betreiben, wenn sie dann doch nach der Wahl die Agenda der CDU/CSU abnicken wird?

    Mir klingt es noch im Ohr: „Wer hat uns verraten? Es waren auch diesmal die Sozialdemokraten!“

  3. Wer von den Berliner netzpolitik.org-Lesern geht denn am
    19. April um 19 Uhr
    zum nächsten Treffen dieser SPD-Gruppe „Forum Netzpolitik“
    im „Aufsturz“ (Oranienburger Straße 67, im hinteren Raum) ?

    Am besten doch wir alle, nicht wahr ?

    1. Das Forum Netzpolitik hat in Reaktion auf den Artikel über Twitter gestern auch aktiv Aktive von netzpolitik.org eingeladen.

      Leser sind auch willkommen (und alle anderen Menschen ebenfalls), aber die meisten bis alle dort gehören auch in die Gruppe „netzpolitik.org-Leser“ ;-).

  4. Die FDP (oder Teile von ihr) standen für Bürger_innen_rechte. Die Grünen standen für Umweltschutz. Beide sind politisch leider fast bedeutungslos geworden. Wir haben stattdessen einen ausufernden Überwachungsstaat und eine Kanzlerin die höchstpersönlich dafür kämpft die Grenzwerte bei Autos heraufzusetzen statt den Betrug der Automobilindustrie zu ahnden. Die SPD trägt das in der großen Koalition mit und versucht erst gar nicht eine andere Position durchzusetzen. Es gibt durchaus sinnvolle Alternativen zum Ansatz der Datenschutzgrundverordnung. Eine weitgehende Abschaffung ist aber sicher kein sinnvoller Ansatz.

    1. „Grenzwerte bei Autos“ heraufsetzen (welche?) = Überwachungsstaat?
      „SPD in der großen Koalition“ – R2G in Berlin = große Koaltion?

      1. Bei einem Völkermord vor der Haustür zugucken und aus der Entfernung „Frieden“ rufen ist natürlich einfacher.

        Schutzzonen zu errichten und Militär, welches gegen Zivilisten vorgeht, und Massenmorde begeht mit dem Ziel des Genozids anzugreifen als „Angriffskrieg“ zu bewerten finde ich auch ganz groß.

        Sag mal konkret, wie man hätte reagieren sollen. Bis jetzt ließt sich deine Einstellung so: „Zugucken und mit dem Kopf schütteln.“

        Ich fand Ruanda war ein Sündenfall der Außenpolitik und das was du als „Sündenfall“ bezeichnest, war eigentlich der Versuch diesen Ruanda Genozid nicht zu wiederholen. Und Rückwirkend betrachtet ist das auch ziemlich gut gelungen, im Gegensatz zu anderen militärischen Aktionen.

    2. Standen ist richtig, aber das ist seit langem Vergangenheit. Die stehen heute für abgewählt, weil sie nichts änderten. Ebenso ist es mit den Linken. Beweis Thüringen. Die bringen garnix. Gerade bei den Grünen darf man extrem skeptisch sein. Da gab es die Affäre unter Fischer, dass Ukrainer mit falschen Pässen versorgt wurden und der Krieg gegen Jugoslavien, der auch nur ein illegaler Angriffskrieg gegen einen souveränen Staat darstellte, wurde als erster Sündenfall deutscher Außenpolitik und Bruches des Grundgesetzes inzwischen zur Normalität. Solche „Politiker(innen)“ dürfen von den Bürgern nicht erwarten, dass die sich an irgendein x-beliebiges Gesetz halten. Die ganze Politiker- und Parteienkaste kann man sich sparen. Einen König und ein paar Adlige auf Lebenszeit mit 10% Steuern wären viel billiger, als das, was wir haben.

  5. Es gibt irgendwo eine Internetseite, in der sehr genau nachvollziehbar ist, wie und wo die SPD dem Abbau der Rechte der Bürger im Internet zugestimmt hat. Sie hat zusammen mit der CDU JEDES Gesetz zur Einschränkung der Rechte der Bürger im Internet durchgewunken. Man sollte festhalten, die können sabbern, was sie wollen. Mehr als blamieren können sie sich nicht. Das machen sie halt.

    Es ist ein Fakt, dass es im Internet keine „Sicherheit“ gibt. Bedeutet aber nicht, dass da Anarchie herrscht. Den Eindruck bekommt man aber, wenn man das Treiben einiger (insbesondere US-) Konzerne und -Geheimdienste unter die Lupe nimmt. Allein, weil die Massen viel zu faul sind, sich um ihre Daten zu kümmern. Es ist tatsächlich so, dass es möglich ist, nahezu jeden Rechner im Netz zu hacken und dort Daten in der einen oder anderen Form zu manipulieren. Geschickte Hacker verstecken ihr Treiben sogar erfolgreich. Die nationalen Gesetzgeber können natürlich weiter gegen Windmühlen kämpfen, aber in einem weltweiten Netz können sie garnichts ausrichten.

    Die Chinesen kriegen jetzt ihr eigenes Win 10. Warum? Weil die chinesische Regierung den massenhaft verbreiteten größten Trojaner der Welt einfach verboten hatte. Warum ist die EU nicht zu so etwas in der Lage? Win 8 war schon dasselbe Problem. Warum sind die EU oder die Bundesregierung nicht in der Lage, derartige Schmuddelpraktiken der US-Konzerne zu unterbinden?

  6. „Doch „Grundsätze“ lassen sich vor lauter Lobby-Einfluss nicht wirklich erkennen.“

    Liebe Christiane Schulzki-Haddouti: Kannst du konkret den Lobby-Einfluss aufzeigen. Wer hat da wann was gemacht?

    Die Sitzungen waren ja öffentlich, wenn ich mich recht erinnere warst du nicht dort. Aber gerne kannst du sagen, welche Menschen vor Ort was konkret für welche Lobby gemacht habe. Denn was du danach im Artikel aufzeigst sind eben politische Meinungen, müssen haben keine Lobby sein, die können auch Privatmenschen haben.

    Ich finde den Vorwurf schon recht klar und hätte da gerne irgendwelche konkreten Belege, denn dann kann man dagegen auch konkret Vorgehen, bzw. es konkret Ansprechen.

  7. Was passiert denn nun mit diesem Grundsatzpamphlet? Erarbeitet das Forum Netzpolitik auf der Basis des Papiers konkrete Empfehlungen? Die würden mich schon interessieren – vor allem, da die Punkte zum großen Teil völlig dem widersprechen, was die SPD auf Bundesebene im Rahmen der Großen Koalition einfach abnickt. Aber da die Grundsätze derart unkonkret formuliert sind interpretiere ich vielleicht auch zuviel hinein. :-)

  8. Zum Lobby-Vorwurf:
    Ich haben nicht von Lobbyisten geredet, sondern von Lobby-Einfluss. Das Papier selbst führt Google als Positivbeispiel an (S. 6: „Einige Unternehmen sind hierbei schon vorangegangen und stellen
    sämtliche Aktivitäten (geräteübergreifende Browserhistorie, Bewegungsdaten, Nutzung von
    Apps, etc.)“).
    Das adressiert klar Transparenz und Intervenierbarkeit (wobei mir als Nutzer mangels unabhängiger Kontrolle nicht klar ist, wie weit meine Interventionsfähigkeit tatsächlich reicht – denn die zahlreichen Tracking-Aktivitäten lassen sich nur extrem schwer unterbinden).
    Es gibt im Papier keine Kritik an der Analysemacht von Google Dank weitreichendster Verkettbarkeit. Genau das ist im Interesse des Konzerns – ob ihr das bewusst gemacht habt oder versehentlich, ändert aber am Ergebnis wenig. Das Beispiel Fitnesstracker belegt ebenfalls dieses Wegducken vor der Analysemacht des datenverarbeitenden Unternehmens. Es wird zwar die Dezentralität gelobt, aber gerade am Beispiel Fitnesstracker wird kein Wort darüber verloren, dass diese Daten auch ausschließlich auf dem Gerät des Nutzers in einer Art Sandbox verarbeitet werden könnten . Auch wird das Marktortprinzip ignoriert (und damit wird auch die Frage nach der Durchsetzungsfähigkeit der Aufsichtsbehörden verpasst, die dringendst zu diskutieren wäre).

    Daher kommt mein Eindruck, dass die Silicon-Valley-Argumentation im Kreise der Anwesenden gut verfangen hat. Mit Lobby-Einfluss meinte ich deshalb einen gewissen Brainwash der Alternativlosigkeit, aber das wäre noch ein härterer Vorwurf gewesen, oder?

    1. Lobby-Einfluss muss ja aktiv von Menschen ausgehen – diese Personen nennt man „Lobbyisten“, denn „Einfluss“ ist aktiv.

      Mir sind die von Ihnen kritisierten Inhalte bewusst und ich kann das gut nachvollziehen das politisch anders zu sehen. Aber das heißt nicht, dass das Papier unter Lobby-Einfluss entstanden ist. Wenn dem doch so ist, dass ist das etwas Wichtiges und sollte entsprechend belegt werden.

      Nicht jede Position, die von der eigenen Abweicht, ist automatisch eine Position durch Lobby-Einfluss. Genau deshalb frage ich nach, dass ist nämlich ein ziemlich klarer Vorwurf, der hier gemacht wird. Damit sollte man transparent umgehen, dem kann man aber nur begegnen, wenn das dann auch benannt wird.

      Der letzte Absatz ließt sich ja jetzt schon ganz anders „Daher kommt mein Eindruck“ ist etwas anderes als „Doch „Grundsätze“ lassen sich vor lauter Lobby-Einfluss nicht wirklich erkennen.“.

      Ich finde es ehrlich gesagt sehr unsauber mit solchen Vorwürfen zu arbeiten. Man kann doch das Papier kritisieren und ich kann die Punkte sehr gut nachvollziehen.

      Aber dann ein Lobby-Einfluss zu erfinden finde ich ziemlich daneben. Genauso finde ich daneben, anderen Positionen direkt „Brainwash“ zu unterstellen, dass ist eigentlich das gleiche wie „gesunder Menschenverstand“.

      Also entweder kommt jetzt was Konkretes zu Lobby-Einfluss und dann ist das glaubwürdig und ein wichtiger Beitrag, dem man dann konkret im Forum nachgehen kann, oder Sie machen sich ehrlich und schreiben etwa „wirtschaftsnah“. Denn das ist es und man kann in der Abwägung von Interessen auch ganz ohne Lobby-Einfluss und „Brainwash“ sich für die „wirtschaftsnahe“ Seite entscheiden. Das mag Ihnen politische nicht gefallen (und mir auch nicht), aber das ist eine legitime Position hinter der wohl sogar mehr Leute stehen, als hinter unser beider Position.

      Tut mir leid, aber wer hart austeilt muss dann auch liefern oder sich mal ganz klar entschuldigen und nicht hinter Begriffsdiskussion verstecken. Wir wissen alle, was Lobby-Einfluss suggerieren soll (und Einfluss ist aktiv, also Lobbyisten).

      Deshalb auch ein klares Angebot: Wenn Sie konkrete Nachweise für Lobby-Einfluss haben und diesen hier nicht offen teilen wollen, können Sie sich auch privat an mich wenden. Meine E-Mail Adresse ist ja mit angegeben und ansonsten eine Direktnachricht an @ropietsch bei Twitter. Denn dann kann ich das ganz konkret angehen. Mir ist das Thema wichtig, deshalb auch die konkrete Nachfrage.

  9. Deal: „Wirtschaftsnahes Denken“ – meinem Sprachempfinden nach schrie „Einfluss“ nicht nach Belegen etwa mit Copy-and-Paste-Zitaten (die ich so tatsächlich nicht finden kann). Ich dachte an ideellen Einfluss.

    1. Deal :-). Ich finde „wirtschaftsnahe“ bringt es auch auf den Punkt und ist ein klarer Vorwurf, aber eben politisch und Teil einer Abwägung, den Teile der SPD nun mal in diese Richtung treffen. Kommt der Deal noch in den Artikel ;-).

      Wie gesagt: Wenn es klare Hinweise gibt, gerne ein persönliches Anschreiben und ich thematisiere das in der SPD. Mir ist das wichtig.

      Ansonsten hat das Forum auch reagiert und euch Eingeladen, einen Themenabend mit euch zu machen, da kann man genau über sowas debattieren und aktiv in die Politik traten.

  10. Ich sag mal den Leuten von Netzpolitik.org Bescheid wegen dem Deal –

    Danke für die Einladung, aber leider bin ich nicht vor Ort.

    Es gibt wirklich viel zu sagen zu dem Thema. Ich habe ja nur ein paar Punkte herausgreifen können. Einen Punkt möchte ich aber nochmal betonen: Big Data ist im Grunde eine gute Sache, da man viel damit erreichen kann. Aber man muss sich auch mit diversen Anonymisierungstechniken (Privacy by Design) ernsthaft befassen und nicht das Kind mit dem Bad ausschütten. Hier ist viel Forschungs- und Entwicklungspotenzial (das sollte man auch aktiv fördern – dazu habe ich aber auch nichts gelesen). Wenn man keine Anreize dafür setzt, wird es schwierig, dieses Potenzial überhaupt zu erschließen. Der Fluss wird sich immer den leichtesten Weg nach unten suchen.
    In dem Zusammenhang möchte ich noch auf meine Privacy-by-Design-Entwicklungsgeschichte hinweisen: https://www.datenschutzbeauftragter-online.de/datenschutz-ideengeschichte-privacy-by-design-teil-1/9929/ (7 Teile)
    Hier wird klar, dass viel in den letzten 20 Jahren versäumt wurde. Klar wird aber auch, dass es enorme Gestaltungsmöglichkeiten gibt – und wir stehen erst am Anfang. Die Europäer sind konzeptionell sehr weit gekommen. Mit Positionen, wie sie jetzt von der SPD Berlin aber zur Diskussion gestellt wurden, nimmt man das Erreichte meines Erachtens nicht ernst / nicht wahr, sondern kapituliert, was letztlich hochgefährlich ist.

    Wie Sir Tim Berners-Lee erst kürzlich sagte, ist die Intervenierbarkeit bezüglich der eigenen Daten das größte Problem des Web – und das muss IMHO * umfassend *angegangen werden (siehe die sechs komplementären Schutzziele -> IT-Sicherheit darf nicht länger gegen Privacy ausgespielt werden).

    1. Ich sehe das wie du! Ich treffe die Abwägung ähnlich, aber ich verstehe die andere Seite der Abwägung.

      Und wir brauchen den Diskurs, genau den kann und soll ein Diskussionspapier anstoßen. Aber in der Diskussion brauchen wir als Netzpolitiker doch genau diesen Input, wie deinen!

      Aber eben hart in der Sache, nicht zur Person.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.